MicrocosmWorksInovasi dan Seni Bina Kosmos Digital
TentangHubungi
MicrocosmWorksMemperbaharui dan Merangka Kosmos Digital

Menyampaikan penyelesaian IT yang penting. Kami bersemangat tentang teknologi, keselamatan, dan membantu perniagaan berkembang melalui infrastruktur IT yang boleh dipercayai dan inovatif.

[email protected]
+91 7011868196
New Delhi, India

Pusat Pertumbuhan AI

AI HubInovasi PermulaanPemecut Perusahaan

Penyelesaian

Semua PenyelesaianAplikasi Kesihatan & KecergasanPlatform Video AIPembangunan Ejen AI

Sumber

WawasanPanduan IndustriPelan Tindakan Kes PenggunaanCorak Seni BinaKajian Kes

Syarikat

Tentang KamiHubungiKerja Kami

Perkhidmatan

Perundingan DigitalInfrastruktur AwanPembangunan SaaSPembangunan AITeknologi Video
Pembangunan ERPPenyesuaian ZohoPembangunan OdooIntegrasi SalesforcePembangunan CRM Tersuai
Integrasi QuickBooksPenyelesaian IoTPembangunan Blockchain
Perundingan Keselamatan SiberSokongan IT - L3

ยฉ 2026 MicrocosmWorks. Hak cipta terpelihara.

Dasar PrivasiTerma Perkhidmatan
Kembali ke Kajian Kes
Enterprise AuthDiterbitkan June 22, 2026 ยท Dikemas kini June 22, 2026

Integrasi Okta SSO & SCIM untuk Platform Kesihatan & Kesejahteraan Perusahaan

Sebuah platform SaaS kesihatan dan kesejahteraan perusahaan perlu menyokong pelanggan organisasi besar yang memerlukan Single Sign-On (SSO) untuk akses pekerja yang lancar dan peruntukan/penyahperuntukan pengguna automatik melalui SCIM โ€” satu keperluan yang tidak boleh dirunding untuk jualan perusahaan.

Bincangkan Projek Anda
okta-sso-scim-integration.webp
Enterprise Auth
Domain
11
Technologies
6
Key Results
Delivered
Status

Cabaran

Pelanggan perusahaan enggan menggunakan platform tersebut tanpa federasi identiti dan pengurusan kitaran hayat automatik:

  • Keperluan SSO โ€” Jabatan IT mengarahkan agar pekerja log masuk melalui penyedia identiti korporat mereka, bukan dengan kelayakan berasingan
  • Beban Kerja Onboarding Manual โ€” Menambah ratusan pekerja secara manual apabila organisasi baharu mendaftar mengambil masa berhari-hari kerja pentadbiran
  • Risiko Offboarding โ€” Apabila pekerja meninggalkan organisasi, akaun platform mereka kekal aktif selama berminggu-minggu, menimbulkan kebimbangan pematuhan dan akses data
  • Akses Berasaskan Kumpulan โ€” Kumpulan pekerja yang berbeza memerlukan tahap ciri dan akses program yang berbeza
  • Kerumitan Multi-Penyewa โ€” Setiap pelanggan perusahaan mempunyai penyewa identity provider mereka sendiri dengan konfigurasi, pemetaan atribut, dan struktur kumpulan yang berbeza
  • Kewujudan Bersama Pengesahan Sedia Ada โ€” Platform tersebut sudah mempunyai email/password dan pengesahan berasaskan OAuth; SSO perlu wujud bersama tanpa mengganggu aliran sedia ada

Penyelesaian Kami

Kami melaksanakan Okta SSO melalui SAML 2.0/OIDC untuk pengesahan dan SCIM 2.0 untuk peruntukan pengguna, penyahperuntukan, dan penyegerakan kumpulan automatik โ€” diintegrasikan ke dalam backend multi-penyewa sedia ada.

Seni Bina

  • Penyedia Identiti: Okta (penyewa yang diurus pelanggan)
  • Protokol SSO: SAML 2.0 (utama) + OIDC (alternatif)
  • Peruntukan: SCIM 2.0 server yang terbina dalam backend platform
  • Backend: NestJS dengan PostgreSQL dan Redis
  • Lapisan Pengesahan: Sesi berasaskan JWT dengan pengeluaran token yang menyedari SSO
  • Papan Pemuka Admin: Konfigurasi penyewa berasaskan React untuk persediaan SSO
  • Pengesahan Sedia Ada: Email/password + Google OAuth dikekalkan di samping SSO

---

Pelaksanaan SSO (SAML 2.0 / OIDC)

Aliran SAML 2.0

Aliran SAML yang dimulakan oleh SP berfungsi seperti berikut: pengguna melawat halaman log masuk dan memilih SSO, memasukkan domain e-mel syarikat mereka, platform mengenal pasti konfigurasi Okta penyewa daripada domain, menghantar AuthnRequest kepada Okta, pengguna mengesahkan diri, Okta mengembalikan SAML assertion yang ditandatangani, platform mengesahkan assertion dan mencipta sesi dengan token JWT.

Konfigurasi Setiap Penyewa

SSO setiap penyewa dikonfigurasikan dengan URL SSO identity provider mereka, entity ID, X.509 certificate untuk pengesahan tandatangan, bersama-sama dengan SP entity ID platform, URL assertion consumer service, dan pemetaan atribut dari medan profil identity provider ke medan pengguna platform.

Alternatif OIDC

Bagi pelanggan yang memilih OIDC berbanding SAML, platform ini menyokong aliran Authorization Code dengan PKCE, menggunakan pemetaan atribut yang sama melalui OIDC claims dan pengesahan ID token dengan JWKS.

Penghalaan SSO Multi-Penyewa

Platform ini menghalakan pengguna ke identity provider yang betul berdasarkan domain e-mel mereka. Apabila pengguna memasukkan e-mel mereka, platform mencari domain tersebut berdasarkan konfigurasi SSO penyewa. Jika SSO dikonfigurasi, pengguna dialihkan ke penyewa Okta organisasi mereka. Jika tidak, mereka akan kembali menggunakan email/password atau Google OAuth. Vanity URL juga disokong untuk akses SSO terus. ---

Pelaksanaan SCIM 2.0

Pelayan SCIM

Platform ini mendedahkan API yang mematuhi SCIM 2.0 yang dipanggil oleh Okta untuk mengurus pengguna dan kumpulan. API ini menyokong operasi kitaran hayat pengguna penuh (cipta, baca, kemas kini, nyahaktif, padam), CRUD kumpulan dengan pengurusan keahlian, dan endpoint penemuan SCIM standard untuk keupayaan, skema, dan jenis sumber.

Kitaran Hayat Pengguna melalui SCIM

Peruntukan:

Apabila pentadbir menugaskan pengguna kepada aplikasi platform dalam Okta, Okta menghantar permintaan cipta kepada SCIM API. Platform ini mencipta akaun pengguna dengan perkaitan penyewa, menandakan mereka sebagai aktif dan diperuntukkan SSO, dan pengguna boleh log masuk serta-merta melalui SSO.

Kemas Kini Profil:

Apabila pentadbir mengemas kini profil pengguna dalam Okta, perubahan tersebut dihantar ke platform melalui SCIM. Jika berlaku perubahan jabatan, keahlian kumpulan dinilai semula secara automatik.

Nyahperuntukan:

Apabila pengguna dikeluarkan daripada aplikasi dalam Okta, platform menyahaktifkan akaun โ€” membatalkan semua sesi aktif serta-merta, menghalang log masuk selanjutnya, mengekalkan data mengikut polisi pengekalan, dan membebaskan tempat lesen.

Pengaktifan Semula:

Menugaskan semula pengguna dalam Okta akan mengaktifkan semula akaun mereka dengan semua data sejarah kekal utuh.

Penyegerakan Kumpulan

Kumpulan Okta dipetakan kepada peranan platform dan tahap program โ€” mengawal akses kepada tahap ciri yang berbeza, keupayaan admin, papan pemuka khusus, dan pendaftaran program eksklusif. Perubahan keahlian kumpulan dalam Okta dihantar melalui SCIM dan ditunjukkan dalam masa nyata tanpa memerlukan log masuk semula. ---

Keselamatan & Pengesahan

Pengeluaran Token Selepas SSO

Selepas pengesahan SAML assertion, platform mengeluarkan JWT yang skopnya penyewa dengan claims untuk identiti pengguna, organisasi, peranan (diperoleh daripada keahlian kumpulan SCIM), kaedah pengesahan, dan identity provider โ€” membolehkan pembezaan audit antara SSO dan kaedah pengesahan lain.

Pengurusan Sesi

  • Sesi SSO mematuhi jangka hayat sesi Okta
  • Single Logout (SLO) disokong untuk penamatan sesi apabila pengguna log keluar dari Okta
  • Webhook back-channel logout untuk pembatalan sesi segera
  • Penyahaktifan SCIM membatalkan semua sesi aktif dalam masa 60 saat

Kawalan Keselamatan

  • Pengesahan tandatangan respons SAML terhadap X.509 certificate penyewa
  • Pencegahan main semula assertion melalui penjejakan penggunaan sekali
  • Toleransi herotan jam untuk pengesahan cap masa assertion
  • Pengesahan sekatan audiens
  • Assertion yang disulitkan disokong untuk pelaksanaan yang sensitif
  • Pengesahan endpoint SCIM melalui Bearer token setiap penyewa
  • Penghad kadar pada endpoint SCIM

---

Papan Pemuka Konfigurasi Admin

Persediaan SSO Penyewa

Papan pemuka admin menyediakan aliran persediaan layan diri:

  1. Pemilihan Protokol โ€” Pilih SAML 2.0 atau OIDC
  2. Muat Naik Metadata โ€” Muat naik IdP metadata XML (mengisi konfigurasi secara automatik)
  3. Pemetaan Atribut โ€” Petakan medan profil identity provider kepada medan pengguna platform
  4. Pengesahan Domain โ€” Sahkan pemilikan domain e-mel untuk penghalaan SSO
  5. Uji Sambungan โ€” Mulakan log masuk SSO ujian sebelum mengaktifkan untuk semua pengguna
  6. Persediaan SCIM โ€” Hasilkan Bearer token untuk konfigurasi peruntukan SCIM
  7. Pemetaan Kumpulan โ€” Petakan kumpulan identity provider kepada peranan dan tahap platform

Papan pemuka juga menyediakan SP metadata yang boleh dimuat turun untuk konfigurasi aplikasi identity provider yang mudah. ---

Ciri-ciri Utama

  1. Sokongan SAML 2.0 + OIDC โ€” Pilihan protokol fleksibel setiap penyewa
  2. Peruntukan SCIM 2.0 โ€” Penciptaan, kemas kini, dan penyahaktifan pengguna automatik
  3. Pemetaan Kumpulan ke Peranan โ€” Kumpulan identity provider mengawal tahap akses dan program platform
  4. Nyahperuntukan Segera โ€” Penyahaktifan SCIM membatalkan akses dalam masa 60 saat
  5. Penghalaan SSO Multi-Penyewa โ€” Penemuan IdP berasaskan domain e-mel merentasi penyewa
  6. Kaedah Pengesahan yang Wujud Bersama โ€” SSO bersama email/password dan Google OAuth
  7. Persediaan Layan Diri โ€” Papan pemuka admin untuk konfigurasi SSO tanpa sokongan kejuruteraan
  8. Single Logout โ€” Sesi platform ditamatkan apabila pengguna log keluar dari identity provider
  9. Jejak Audit โ€” Setiap operasi SCIM dan acara SSO direkodkan untuk pematuhan
  10. SCIM Group Sync โ€” Perubahan peranan dan program masa nyata daripada keahlian kumpulan identity provider

Keputusan

Membuka Halangan Perusahaan: Keperluan SSO + SCIM dipenuhi, membolehkan penutupan kontrak perusahaan
Kelajuan Onboarding: Organisasi 500 pengguna diperuntukkan dalam beberapa minit berbanding berhari-hari persediaan manual
Pematuhan Offboarding: Penyahaktifan disebarkan dalam masa 60 saat selepas pengeluaran identity provider

Timbunan Teknologi

OktaSAML 2.0OIDCSCIM 2.0NestJSTypeScriptPostgreSQLRedisJWTReactBearer Token Authentication

caseStudyDetail.more Kajian Kes

Terokai lebih banyak pelaksanaan teknikal kami

AI Accounting

Pemprosesan Invois Berkuasa AI dengan OCR dan Integrasi QuickBooks

Sebuah perniagaan bersaiz sederhana yang memproses ratusan invois vendor setiap bulan perlu menghapuskan kemasukan data manual dengan mengekstrak data invois secara automatik menggunakan AI/OCR dan menyegerakkannya terus ke dalam QuickBooks untuk tujuan simpan kira dan penjejakan pembayaran.

Baca Kajian Kes
Video Encoding

Penyisipan Iklan Sisi Klien (CSAI) dengan Penghuraian Penanda SCTE-35 & Integrasi Pemain Berbilang Platform

Sebuah platform penstriman video perlu melaksanakan Client-Side Ad Insertion (CSAI) merentasi aplikasi web, mudah alih, dan TV bersambung โ€” membolehkan pengalaman iklan yang diperibadikan pada peringkat peranti dengan sokongan interaksi iklan penuh (lapisan tindanan boleh klik, sepanduk pendamping, butang langkau) yang tidak dapat disediakan oleh penyisipan sisi pelayan.

Bersedia untuk Mentransformasi Perniagaan Anda?

Mari bincangkan bagaimana kami boleh mengaplikasikan penyelesaian serupa untuk cabaran anda.

Hubungi KamicaseStudyDetail.viewAllCaseStudies
Penerimaan IT: Persediaan SSO layan diri mengurangkan tiket sokongan onboarding sebanyak 80%
Postur Keselamatan: Pengurusan identiti berpusat menghapuskan akaun anak yatim
Kewujudan Bersama Pengesahan: Pelanggan yang lebih kecil terus menggunakan email/password tanpa gangguan
Baca Kajian Kes
Web Scraping

Platform Pengikisan & Penjanaan Kandungan Blog Dikuasakan AI

Sebuah syarikat media memerlukan platform kandungan pintar yang boleh mengautomasikan penciptaan kandungan blog dengan mengikis kandungan web sedia ada, menganalisisnya menggunakan AI, dan menjana artikel blog asli yang dioptimumkan SEO daripada data yang diekstrak.

Baca Kajian Kes

Soalan Lazim

MicrocosmWorks melaksanakan protokol SCIM 2.0 untuk membolehkan provisioning dan deprovisioning pengguna automatik antara Okta dan platform kesihatan dan kesejahteraan, jadi apabila pentadbir IT menambah, mengubah suai, atau memadam pengguna dalam direktori Okta, perubahan tersebut tersebar ke aplikasi dalam masa beberapa saat. Ini menghapuskan penciptaan akaun manual, kemas kini kebenaran, dan tugas offboarding yang sebelum ini dikendalikan oleh pasukan IT melalui tiket sokongan, mengurangkan overhead pengurusan akses kira-kira 90%.

MicrocosmWorks membina lapisan pemetaan peranan yang boleh dikonfigurasi yang menterjemahkan keahlian kumpulan Okta kepada peranan dan keizinan peringkat aplikasi, menyokong kedua-dua pemetaan kumpulan-ke-peranan secara langsung dan peraturan kompleks yang menggabungkan pelbagai keahlian kumpulan. Apabila keahlian kumpulan pengguna berubah dalam Okta, integrasi SCIM mengemas kini keizinan aplikasi mereka dalam masa nyata, dan sistem mencatat setiap perubahan keizinan untuk pematuhan audit.

MicrocosmWorks melaksanakan pembatalan sesi masa nyata yang memantau peristiwa penyahprovisian SCIM dan serta-merta membatalkan semua sesi aktif untuk pengguna yang dinyahaktifkan merentasi semua peranti dan pelayar web. Sistem itu tidak menunggu tempoh luput token; ia secara aktif menolak pembatalan ke gedung sesi dalam beberapa saat selepas peristiwa Okta itu, yang kritikal untuk kepatuhan keselamatan apabila pekerja ditamatkan perkhidmatan dan memerlukan penyingkiran akses serta-merta.

Ya, MicrocosmWorks mereka bentuk lapisan pengesahan untuk menyokong pelbagai penyedia identiti serentak melalui peraturan penghalaan Okta, membenarkan pengguna dari direktori korporat yang berbeza untuk mengesahkan melalui IdP masing-masing semasa mengakses instans aplikasi yang sama. Ini penting semasa peralihan M&A di mana organisasi yang bergabung mengekalkan domain Active Directory yang berasingan, dan sistem mengendalikan perbezaan pemetaan atribut antara IdP secara telus.

MicrocosmWorks melaksanakan integrasi Okta SSO dan SCIM pada kadar $25-$45/jam, dengan integrasi tipikal mengambil masa 3-6 minggu bergantung kepada kerumitan pemetaan peranan dan bilangan atribut pengguna sedia ada yang perlu disegerakkan. Pelaburan ini adalah sebahagian kecil daripada kos berterusan pengurusan pengguna manual dan risiko keselamatan pembatalan akses yang tertunda, dan ia sering menjadi keperluan untuk memuktamadkan kontrak jualan perusahaan.