# SCIM-Bereitstellung einrichten

Automatische Bereitstellung und Aufhebung der Bereitstellung von Teammitgliedern, denen von Ihrem Identitätsanbieter (IdP) Zugriff auf Stripe zugewiesen wurde.

Wenn Sie Single Sign-On mit SAML einrichten, werden Nutzer/innen standardmäßig bei ihrer ersten Anmeldung bei Stripe über Ihren IdP nach dem Just-In-Time-Prinzip (JIT) bereitgestellt. Mit SCIM können Sie Teammitglieder automatisch in Stripe bereitstellen, noch bevor sie sich anmelden und sie bei Bedarf wieder entfernen, wenn sie keinen Zugriff mehr auf Stripe haben sollen.

Stripe hält sich an das SCIM 2.0-Protokoll und unterstützt in der öffentlichen Vorschau ausschließlich die folgenden Funktionen:

### Nutzer/innen

- Nutzer/in für Stripe bereitstellen (`POST /scim/v2/Users`)
- Nutzer/in aus Stripe abrufen (`GET /scim/v2/Users/<user_id>`)
- Aktualisieren Sie eine Nutzerin/einen Nutzer in Stripe (`PUT /scim/v2/Users/<user_id>` or `PATCH /scim/v2/Users/<user_id>`)
- Alle Nutzer/innen in Stripe auflisten (`GET /scim/v2/Users`)
- Deprovisionierung eines Nutzers/in von Stripe (`DELETE /scim/v2/Users/<user_id>`)

> #### Stripe-spezifisches Verhalten
> 
> - Stripe unterstützt keine Aktualisierungen der E-Mail-Adresse. Wenn Sie die E-Mail-Adresse der Nutzerin oder des Nutzers aktualisieren müssen, müssen Sie für die Nutzerin oder den Nutzer eine neue E-Mail-Adresse angeben.
- Wir verwenden die E-Mail-Adresse der Nutzerin oder des Nutzers als deren/dessen eindeutige Kennung.
- Sowohl die Aktion, die Nutzerdeaktivierung (`PATCH` von `active` auf `false` zu setzen) als auch die Löschung (`DELETE`) führen zum Löschen der Nutzerin oder des Nutzers aus dem Stripe-Konto.
- Stripe verarbeitet die folgenden Nutzer-Attribute: `id`, `userName`, `displayName`, `active`, `meta`. Stripe verarbeitet keine anderen Nutzer-Attribute, sodass Sie diese nicht in SCIM-Anfragen übergeben müssen.

### Gruppen

- Stripe eine Gruppe bereitstellen (`POST /scim/v2/Groups`)
- Eine Gruppe von Stripe abrufen (`GET /scim/v2/Groups/<group_id>`)
- Eine Gruppe in Stripe aktualisieren (`PUT /scim/v2/Groups/<group_id>` oder `Patch /scim/v2/Groups/<group_id>`)
- Alle Gruppen in Stripe auflisten (`GET /scim/v2/Groups`)
- Eine Gruppe von Stripe trennen (`DELETE /scim/v2/Groups/<group_id>`)

> #### Stripe-spezifisches Verhalten
> 
> - Wir unterstützen keine Aktualisierungen des Gruppennamens. Wenn Sie eine Gruppe umbenennen müssen, müssen Sie ihr einen neuen Namen geben.

## Funktionsweise

Wenn Sie die SCIM-Bereitstellung aktivieren, stellt Stripe Nutzer/innen und Gruppen auf der Grundlage von Anfragen an den SCIM-Endpoint von Stripe bereit. Dabei wird der SCIM-API-Schlüssel Ihres Kontos oder Ihrer Organisation verwendet. Bestehende Nutzer/innen haben weiterhin Zugang zu Stripe.

SCIM übernimmt zwar die Bereitstellung für Teammitglieder und Gruppen, aber ihre Rollen werden weiterhin unabhängig über SAML in Attribut-Anweisungen verwaltet, die während der Anmeldung von Ihrem IdP oder im Dashboard übergeben werden, je nach Konfiguration für die Zuweisung von Rollen.

Wenn Ihr IdP- oder SCIM-Client neue Teammitglieder für Stripe bereitstellt, erscheinen diese automatisch in Ihrer Liste der Teammitglieder unter **Einstellungen** > **Team und Sicherheit** > [Team](https://dashboard.stripe.com/settings/team). Wenn Ihr IdP- oder SCIM-Client die Bereitstellung von Teammitgliedern aufhebt, wird deren Zugriff sofort von uns widerrufen und sie werden aus Ihrer Liste der Teammitglieder entfernt. Entfernte Teammitglieder werden automatisch aus dem Dashboard abgemeldet und können nicht mehr auf Stripe zugreifen. Wenn Ihre Konten zu einer Organisation gehören, müssen Sie sowohl die SSO- als auch die SCIM-Bereitstellung über Ihre Organisation konfigurieren. Sie können SSO oder SCIM nicht für einzelne Konten in einer Organisation konfigurieren.

Wenn Sie einen Nutzer/in über SCIM bereitstellen und die Rollenzuweisung so konfigurieren, dass sie über SAML angewendet wird, werden dem Nutzer/in keine Berechtigungen zugewiesen, bis er sich anmeldet.

Wenn Sie eine Gruppe über SCIM bereitstellen, wird die SAML-Rollenzuweisung deaktiviert. Die SCIM-basierte Gruppensynchronisierung synchronisiert die Gruppenmitgliedschaft von Nutzern/innen mit Stripe, und Stripe ermöglicht es Ihnen, einer synchronisierten Gruppe im Stripe-Dashboard eine Rolle zuzuweisen. Alle Mitglieder der Gruppe übernehmen dann diese Rolle.

Es ist nicht möglich, einer Nutzerin/einem Nutzer eine Rolle sowohl über SCIM als auch über SAML zuzuweisen. Wenn Sie einer Gruppe, die Sie über SCIM synchronisieren, eine Rolle zuweisen, wird die SAML-Gruppen-Assertion ignoriert, wenn sie in der SAML-Föderationseinheit empfangen wurde.

> #### Hybride Konfigurationen
> 
> Wenn Sie einer Nutzerin bzw. einem Nutzer, die/der sich über SSO authentifiziert und bereits über das Dashboard zugewiesene Rollen hat, eine Rolle über eine mit SCIM synchronisierte Gruppenmitgliedschaft zuweisen, betrachtet Stripe die Rollen als vereinigt. Sie können einer Nutzerin bzw. einem Nutzer nicht sowohl über SAML als auch über eine mit SCIM synchronisierte Gruppe eine Rolle zuweisen. Verwenden Sie diese Anleitung, um von der SAML-basierten Rollenzuweisung zur gruppenbasierten Rollenzuweisung mit SCIM zu wechseln. Wenden Sie sich an den Support, wenn Sie zur älteren SAML-basierten Rollenzuweisung zurückkehren möchten.

## Bevor Sie beginnen

Bevor Sie die SCIM-Bereitstellung aktivieren können:

- Sie benötigen im Stripe-Dashboard eine [Administrator](https://docs.stripe.com/get-started/account/teams/roles.md)- oder [Super-Administrator](https://docs.stripe.com/get-started/account/teams/roles.md)-Rolle.
- Sie müssen [Single Sign-On (SSO)](https://docs.stripe.com/get-started/account/sso.md) konfiguriert haben.
- Sie können die SCIM-Bereitstellung nur in Konten oder Organisationen im Live-Modus aktivieren.

## SCIM-Bereitstellung aktivieren

So aktivieren Sie die SCIM-Bereitstellung in Ihrem Konto oder Ihrer Organisation:

1. Wechseln Sie von der Seite Team- und Sicherheitseinstellungen zu [SCIM-Bereitstellung](https://dashboard.stripe.com/settings/security/scim-provisioning) und klicken Sie auf **Aktivieren**.
1. Kopieren Sie Ihre SCIM-Endpoint-URL und Ihren SCIM-API-Schlüssel in Ihren IdP- oder SCIM-Client.

> #### Einschränkungen
> 
> #### Ratenbegrenzungen
> 
> Wir verwenden zwei Arten von Begrenzungen:
> 
> - Begrenzung nach der Anzahl der geänderten Gruppenmitgliedschaften pro Sekunde und pro Konto oder Organisation.
  - Ändern Sie nicht mehr als 100 Gruppenmitgliedschaften pro Sekunde, Konto oder Organisation. Wir unterstützen Bursts für bis zu 500 Gruppenmitgliedschaftsänderungen pro Sekunde, aber ein dauerhafter Datenverkehr von 500 Gruppenmitgliedschaftsänderungen pro Sekunde führt dazu, dass SCIM APIs einen `429`-Statuscode zurückgeben.
- Begrenzung nach Anzahl der API-Anfragen pro Sekunde.
  - Erfahren Sie mehr darüber, wie die Stripe API [Begrenzungen](https://docs.stripe.com/rate-limits.md) verwendet, um die Anzahl der API-Anfragen pro Sekunde einzuschränken.
> 
> #### Skalierungsgrenzen
> 
> Pro Organisation können 250 Gruppen synchronisiert werden.

### In Okta konfigurieren

Stripe unterstützt die SCIM-Bereitstellung über Okta mit nutzerdefinierten SAML&nbsp;2.0-App-Integrationen.

#### Unterstützte Funktionen

- **Nutzer/innen erstellen**: Stellen Sie neue Nutzer/innen in Stripe bereit, wenn sie in Okta zugewiesen werden.
- **Nutzerattribute aktualisieren**: Synchronisieren Sie Änderungen an Nutzerprofilen aus Okta mit Stripe.
- **Nutzer/innen deaktivieren**: Löschen Sie Nutzer/innen in Stripe, wenn sie in Okta nicht zugewiesen sind.
- **Pushing von Gruppen**: Stellen Sie Gruppen von Okta für Stripe bereit, um [gruppenbasierte Rollenzuweisung im Dashboard](https://docs.stripe.com/get-started/account/sso/group-role-assignments.md) nutzen zu können.

> #### Nicht unterstützt
> 
> Die Funktionen **Neue Nutzer/innen importieren**, **Profilaktualisierungen importieren** und **Passwort synchronisieren** werden nicht unterstützt. Stripe erwartet, dass Änderungen an Nutzerprofilen immer von Okta zu Stripe und nicht von Stripe zu Okta synchronisiert werden.

Erfahren Sie mehr über die genannten Funktionen im [Okta-Glossar](https://help.okta.com/okta_help.htm?type=oie&id=ext_glossary).

#### Konfigurationsschritte

#### Nutzerdefinierte Okta-App

##### Schritt&nbsp;1: Nutzerbereitstellung konfigurieren

1. Öffnen Sie Ihre Stripe-Anwendung.
1. Klicken Sie auf die Registerkarte **Allgemein**. Bearbeiten Sie Ihre **App-Einstellungen** und setzen Sie **Bereitstellung** auf **SCIM**.
1. Klicken Sie auf die Registerkarte **Bereitstellung**. Klicken Sie unter **Einstellungen** auf **Integration** und **Bearbeiten**.
1. Für **SCIM-Konnektor Basis-URL** geben Sie `https://access.stripe.com/scim/v2` ein.
1. Fügen Sie für das **Feld für eindeutige Kennung für Nutzer/innen** `email` als Wert hinzu.
1. Wählen Sie für **Unterstützte Bereitstellungsaktionen** Folgendes aus:
   - **Zuordnung neuer Nutzer/innen mit der Push-Methode**
   - **Senden von Profilaktualisierungen mit der Push-Methode**
1. Wählen Sie als **Authentifizierungsmodus** die Option `HTTP Header` aus.
1. Für **Autorisierung** geben Sie Ihren SCIM-API-Schlüssel als Inhaber-Token ein.
1. Klicken Sie auf **Connector-Konfiguration testen** und vergewissern Sie sich, dass der Test erfolgreich verläuft.
1. Klicken Sie auf **Speichern**.
1. Klicken Sie unter der Registerkarte **Einstellungen** > **Zu App** auf **Bearbeiten** und aktivieren Sie Folgendes:
   - **Nutzer/innen erstellen**
   - **Nutzerattribute aktualisieren**
   - **Nutzer/innen deaktivieren**

##### Schritt&nbsp;2 (optional): Gruppenbereitstellung konfigurieren

Um die [gruppenbasierte Rollenzuweisung im Stripe-Dashboard](https://docs.stripe.com/get-started/account/sso/group-role-assignments.md) zu verwenden, aktivieren Sie das **Pushing von Gruppen**:

1. Öffnen Sie Ihre Stripe-Anwendung.
1. Klicken Sie auf die Registerkarte **Bereitstellung**. Klicken Sie unter **Einstellungen** auf **Integration** und **Bearbeiten**.
1. Wählen Sie für **Unterstützte Bereitstellungsaktionen** zusätzlich zu den bereits ausgewählten Optionen Folgendes aus:
   - **Push-Gruppen**. Beachten Sie diese [Funktionsbeschränkung](https://help.okta.com/en-us/content/topics/users-groups-profiles/app-assignments-group-push.htm), wenn Sie die Gruppen festlegen, die Sie über SCIM an Stripe übertragen möchten.
1. Klicken Sie auf **Connector-Konfiguration testen** und vergewissern Sie sich, dass der Test erfolgreich verläuft.
1. Klicken Sie auf **Speichern**.

Sie können dann Gruppen von Okta für Stripe bereitstellen und diesen Gruppen im Stripe-Dashboard Rollen zuweisen.

> #### App-Zuweisung und Pushing von Gruppen
> 
> Okta unterstützt nicht die Verwendung derselben Gruppe für die App-Zuweisung und das Pushing von Gruppen. Sie müssen für die App-Zuweisung und das Pushing von Gruppen unterschiedliche Gruppen verwenden. Andernfalls könnte sowohl bei Okta als auch bei Stripe unerwartetes Verhalten auftreten. Weitere Informationen zu dieser Einschränkung finden Sie in der [Dokumentation zum Pushing von Gruppen in Okta](https://help.okta.com/en-us/content/topics/users-groups-profiles/app-assignments-group-push.htm).

### Konfigurieren Sie in Entra ID

Wenn Sie die SCIM-Bereitstellung über Entra ID als Ihren IdP konfigurieren:

1. Öffnen Sie Ihre Stripe-Anwendung unter **Unternehmensanwendungen**.
1. Klicken Sie auf **Bereitstellung** > **Ihre Anwendung verbinden**.
1. Geben Sie für **Tenant-URL** **https://access.stripe.com/scim/v2**. ein.
1. Für **Geheimes-Token** geben Sie Ihren SCIM-API-Schlüssel ein.
1. Klicken Sie auf **Verbindung testen** > **Erstellen**.

> #### Verzögerung bei der Bereitstellung
> 
> Entra ID hat ein festes automatisches Bereitstellungsintervall von 40&nbsp;Minuten.

### In Ping-IDP konfigurieren

Wenn Sie Nutzer/innen von PingOne Identity über SCIM an Stripe zuweisen:

1. Gehen Sie in der PingOne-Admin-Konsole zu **Integrationen** > **Bereitstellung**.
1. Klicken Sie auf **Neue Verbindung**.
1. Klicken Sie in der Zeile **Identity Store** auf **Auswählen**.
1. Wählen Sie die Kachel **SCIM Outbound** aus und klicken Sie auf **Weiter**.
1. Geben Sie einen **Namen** und eine **Beschreibung** ein und klicken Sie auf **Weiter**.
1. Geben Sie im Abschnitt **Authentifizierung konfigurieren** den Wert für die folgenden Felder ein:
   - **SCIM-Basis-URL**: **https://access.stripe.com/scim/v2**.
   - **Authentifizierungsmethode**: Wählen Sie **OAuth 2-Inhaber-Token** und legen Sie den **Autorisierung-Typ** auf **Inhaber/in** fest.
1. Klicken Sie auf **Verbindung testen**, um zu überprüfen, ob PingOne eine Verbindung zur SCIM-Ressource herstellen kann.

## SCIM-Bereitstellung deaktivieren

So deaktivieren Sie die SCIM-Bereitstellung:

1. Wechseln Sie von der Seite Team- und Sicherheitseinstellungen zu [SCIM-Bereitstellung](https://dashboard.stripe.com/settings/security/scim-provisioning).
1. Klicken Sie auf **Deaktivieren**. Ihr SCIM-API-Schlüssel wird automatisch gelöscht.

## Einen SCIM-API-Schlüssel rotieren

So rotieren Sie Ihren SCIM-API-Schlüssel:

1. Gehen Sie im Menü **Entwickler** zu [API-Schlüssel](https://dashboard.stripe.com/apikeys).
   - Wenn Sie eine Organisation verwalten, gehen Sie zu den [Schlüsseln der Organizations API](https://dashboard.stripe.com/org/api-keys/secret).
1. Klicken Sie neben Ihrem SCIM-API-Schlüssel auf das Überlaufmenü (⋯) und wählen Sie **Schlüssel rotieren**.

## Fehlerbehebung

| Problem                                                                                       | Lösung                                                                                                                                                                                                                      |
| --------------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Aktualisierungen von Nutzerattributen werden in Stripe nicht übernommen                       | Nur die Attribute `displayName` und `active` können aktualisiert werden. Andere Attribute werden entweder von Stripe nicht verarbeitet oder gelten als unveränderlich.                                                      |
| Nutzer/in wird in Stripe gelöscht, obwohl er/sie im Identitätsanbieter deaktiviert wurde      | Stripe unterscheidet nicht zwischen Nutzerdeaktivierung und -löschung mit SCIM. Beide Vorgänge führen zum Löschen der Nutzerin oder des Nutzers aus dem Stripe-Konto.                                                       |
| Nutzer/in wird in Stripe als inaktiv markiert, obwohl er/sie bei Identitätsanbieter aktiv ist | Der Status **Inaktiv** im Dashboard zeigt an, dass sich ein/e Nutzer/in 90&nbsp;Tage lang nicht angemeldet hat. Dieser Status hat keinen Bezug zum Deaktivierungsvorgang der Nutzerin oder des Nutzers mit SCIM.            |
| Aktualisierungen des Gruppennamens werden in Stripe nicht übernommen                          | Stripe unterstützt keine Aktualisierungen des Gruppennamens. Um eine Gruppe umzubenennen, müssen Sie sie mit neuem Namen erneut bereitstellen.                                                                              |
| Rollen werden mit SCIM nicht mit Stripe synchronisiert                                        | Stripe unterstützt Rollenzuweisungen nur im Dashboard oder SAML. Sie können Rollen nicht mit SCIM synchronisieren. Sie können jedoch Gruppen mit SCIM synchronisieren und diesen Gruppen dann im Dashboard Rollen zuweisen. |