Weiter zum Inhalt
Konto erstellen oder anmelden
Das Logo der Stripe-Dokumentation
/
Konto erstellenAnmelden
ÜbersichtAlle Produkte anzeigenStripe-Glossar
Beginnen Sie mit der Entwicklung
QuickstartsEntwicklung per LLM
Häufige Anwendungsszenarien
ÜbersichtAls Start-up einfache Zahlungen akzeptierenAls SaaS-Start-up Abos verkaufenEntwickeln einer Abonnement-Lösung mit nutzungsbasierten PreisenPersönliche ZahlungsannahmeRechnungen senden, um Zahlungen einzuziehen

Automatische Nutzerbereitstellung mit SCIM einrichtenÖffentliche Vorschau

Automatische Bereitstellung und Aufhebung der Bereitstellung von Teammitgliedern, denen von Ihrem Identitätsanbieter (IdP) Zugriff auf Stripe zugewiesen wurde.

Wenn Sie Single Sign-On mit SAML einrichten, werden Nutzer/innen standardmäßig bei ihrer ersten Anmeldung bei Stripe über Ihren IdP nach dem Just-In-Time-Prinzip (JIT) bereitgestellt. Mit SCIM können Sie Teammitglieder automatisch in Stripe bereitstellen, noch bevor sie sich anmelden und sie bei Bedarf wieder entfernen, wenn sie keinen Zugriff mehr auf Stripe haben sollen.

Stripe hält sich an das SCIM 2.0-Protokoll und unterstützt in der öffentlichen Vorschau ausschließlich die folgenden Funktionen:

Nutzer/innen

  • Nutzer/in (keine Gruppen) an Stripe bereitstellen (POST /scim/v2/Users)
  • Nutzer/in aus Stripe abrufen (GET /scim/v2/Users/<user_id>)
  • Aktualisieren Sie eine Nutzerin/einen Nutzer in Stripe (PUT /scim/v2/Users/<user_id> or PATCH /scim/v2/Users/<user_id>)
  • Alle Nutzer/innen in Stripe auflisten (GET /scim/v2/Users)
  • Deprovisionierung eines Nutzers/in von Stripe (DELETE /scim/v2/Users/<user_id>)

Behavior specific to Stripe

  • Stripe doesn’t support email updates. If you need to update the user’s email you need to re-provision the user with a new email.
  • We use the user’s email as a unique identifier for them.
  • Both user deactivation (PATCH to set active to false) and deletion (DELETE) result in deleting the user from the Stripe account.
  • The following user attributes are handled by Stripe: id, userName, displayName, active, meta. Stripe doesn’t handle other user attributes, so you don’t need to pass them in SCIM requests.

Gruppen

  • Stripe eine Gruppe bereitstellen (POST /scim/v2/Groups)
  • Eine Gruppe von Stripe abrufen (GET /scim/v2/Groups/<group_id>)
  • Eine Gruppe in Stripe aktualisieren (PUT /scim/v2/Groups/<group_id> oder Patch /scim/v2/Groups/<group_id>)
  • Alle Gruppen in Stripe auflisten (GET /scim/v2/Groups)
  • Eine Gruppe von Stripe trennen (DELETE /scim/v2/Groups/<group_id>)

Behavior specific to Stripe

  • We don’t support group name updates. If you need to rename a group you need to re-provision it with a new name.

Funktionsweise

Wenn Sie die SCIM-Bereitstellung aktivieren, stellt Stripe Nutzer/innen und Gruppen auf der Grundlage von Anfragen an den SCIM-Endpoint von Stripe bereit. Dabei wird der SCIM-API-Schlüssel Ihres Kontos oder Ihrer Organisation verwendet. Bestehende Nutzer/innen haben weiterhin Zugang zu Stripe.

SCIM übernimmt zwar die Bereitstellung für Teammitglieder und Gruppen, aber ihre Rollen werden weiterhin unabhängig über SAML in Attribut-Anweisungen verwaltet, die während der Anmeldung von Ihrem IdP oder im Dashboard übergeben werden, je nach Konfiguration für die Zuweisung von Rollen.

Wenn Ihr IdP- oder SCIM-Client neue Teammitglieder für Stripe bereitstellt, erscheinen diese automatisch in Ihrer Liste der Teammitglieder unter Einstellungen > Team und Sicherheit > Team. Wenn Ihr IdP- oder SCIM-Client die Bereitstellung von Teammitgliedern aufhebt, wird deren Zugriff sofort von uns widerrufen und sie werden aus Ihrer Liste der Teammitglieder entfernt. Entfernte Teammitglieder werden automatisch aus dem Dashboard abgemeldet und können nicht mehr auf Stripe zugreifen. Wenn Ihre Konten zu einer Organisation gehören, müssen Sie sowohl die SSO- als auch die SCIM-Bereitstellung über Ihre Organisation konfigurieren. Sie können SSO oder SCIM nicht für einzelne Konten in einer Organisation konfigurieren.

Wenn Sie einen Nutzer/in über SCIM bereitstellen und die Rollenzuweisung so konfigurieren, dass sie über SAML angewendet wird, werden dem Nutzer/in keine Berechtigungen zugewiesen, bis er sich anmeldet.

Wenn Sie eine Gruppe über SCIM bereitstellen, wird die SAML-Rollenzuweisung deaktiviert. Die SCIM-basierte Gruppensynchronisierung synchronisiert die Gruppenmitgliedschaft von Nutzern/innen mit Stripe, und Stripe ermöglicht es Ihnen, einer synchronisierten Gruppe im Stripe-Dashboard eine Rolle zuzuweisen. Alle Mitglieder der Gruppe übernehmen dann diese Rolle.

Es ist nicht möglich, einer Nutzerin/einem Nutzer eine Rolle sowohl über SCIM als auch über SAML zuzuweisen. Wenn Sie einer Gruppe, die Sie über SCIM synchronisieren, eine Rolle zuweisen, wird die SAML-Gruppen-Assertion ignoriert, wenn sie in der SAML-Föderationseinheit empfangen wurde.

Hybride Konfigurationen

Wenn Sie einer Nutzerin bzw. einem Nutzer, die/der sich über SSO authentifiziert und bereits über das Dashboard zugewiesene Rollen hat, eine Rolle über eine mit SCIM synchronisierte Gruppenmitgliedschaft zuweisen, betrachtet Stripe die Rollen als vereinigt. Sie können einer Nutzerin bzw. einem Nutzer nicht sowohl über SAML als auch über eine mit SCIM synchronisierte Gruppe eine Rolle zuweisen. Verwenden Sie diese Anleitung, um von der SAML-basierten Rollenzuweisung zur gruppenbasierten Rollenzuweisung mit SCIM zu wechseln. Wenden Sie sich an den Support, wenn Sie zur älteren SAML-basierten Rollenzuweisung zurückkehren möchten.

Bevor Sie beginnen

Before you can enable SCIM provisioning, you must first enable Single Sign-On. You can only enable SCIM provisioning in live mode accounts or organizations.

SCIM-Bereitstellung aktivieren

So aktivieren Sie die SCIM-Bereitstellung in Ihrem Konto oder Ihrer Organisation:

  1. Wechseln Sie von der Seite Team- und Sicherheitseinstellungen zu SCIM-Bereitstellung und klicken Sie auf Aktivieren.
  2. Kopieren Sie Ihre SCIM-Endpoint-URL und Ihren SCIM-API-Schlüssel in Ihren IdP- oder SCIM-Client.

Einschränkungen

Ratenbegrenzungen

We use two types of rate limits:

  • Rate limit by the number of group memberships modified per second, and per account or organization.
    • Don’t modify more than 100 group memberships per second, per account or organization. We support bursts for up to 500 group membership modifications per second, but continuous traffic of 500 group membership modifications per second results in SCIM APIs returning a429 status code.
  • Rate limit by number of API requests per second.
    • Erfahren Sie mehr darüber, wie die Stripe API Begrenzungen verwendet, um die Anzahl der API-Anfragen pro Sekunde einzuschränken.

Skalierungsgrenzen

Pro Organisation können 250 Gruppen synchronisiert werden.

In Okta konfigurieren

Wenn Sie die SCIM-Bereitstellung von Okta als IdP konfigurieren:

  1. Öffnen Sie Ihre Stripe-Anwendung.
  2. Klicken Sie auf die Registerkarte Allgemein. Bearbeiten Sie Ihre App-Einstellungen und klicken Sie auf SCIM-Bereitstellung aktivieren.
  3. Klicken Sie auf die Registerkarte Bereitstellung. Klicken Sie unter Einstellungen auf Integration und Bearbeiten.
  4. Für SCIM-Konnektor Basis-URL geben Sie https://access.stripe.com/scim/v2 ein.
  5. Fügen Sie für das Feld für eindeutige Kennung für Nutzer/innen email als Wert hinzu.
  6. Wählen Sie für Unterstützte Bereitstellungsaktionen Folgendes aus:
    • Zuordnung neuer Nutzer/innen mit der Push-Methode
    • Senden von Profilaktualisierungen mit der Push-Methode
    • Push-Gruppen. Bitte beachten Sie die Funktionsbeschränkungen, wenn Sie die Gruppen festlegen, die Sie über SCIM an Stripe übertragen möchten.
  7. Wählen Sie als Authentifizierungsmodus die Option HTTP Header aus.
  8. Für Autorisierung geben Sie Ihren SCIM-API-Schlüssel als Inhaber-Token ein.
  9. Klicken Sie auf Speichern.
  10. Klicken Sie unter der Registerkarte Einstellungen > Zu App auf Bearbeiten und aktivieren Sie Folgendes:
    • Nutzer/innen erstellen
    • Nutzer/innen deaktivieren

Konfigurieren Sie in Entra ID

Wenn Sie die SCIM-Bereitstellung über Entra ID als Ihren IdP konfigurieren:

  1. Öffnen Sie Ihre Stripe-Anwendung unter Unternehmensanwendungen.
  2. Klicken Sie auf Bereitstellung > Ihre Anwendung verbinden.
  3. Geben Sie für Tenant-URL https://access.stripe.com/scim/v2. ein.
  4. Für Geheimes-Token geben Sie Ihren SCIM-API-Schlüssel ein.
  5. Klicken Sie auf Verbindung testen > Erstellen.

Verzögerung bei der Bereitstellung

Entra ID hat ein festes automatisches Bereitstellungsintervall von 40 Minuten.

In Ping-IDP konfigurieren

Wenn Sie Nutzer/innen von PingOne Identity über SCIM an Stripe zuweisen:

  1. Gehen Sie in der PingOne-Admin-Konsole zu Integrationen > Bereitstellung.
  2. Klicken Sie auf Neue Verbindung.
  3. Klicken Sie in der Zeile Identity Store auf Auswählen.
  4. Wählen Sie die Kachel SCIM Outbound aus und klicken Sie auf Weiter.
  5. Geben Sie einen Namen und eine Beschreibung ein und klicken Sie auf Weiter.
  6. Geben Sie im Abschnitt Authentifizierung konfigurieren den Wert für die folgenden Felder ein:
    • SCIM-Basis-URL: https://access.stripe.com/scim/v2.
    • Authentifizierungsmethode: Wählen Sie OAuth 2-Inhaber-Token und legen Sie den Autorisierung-Typ auf Inhaber/in fest.
  7. Klicken Sie auf Verbindung testen, um zu überprüfen, ob PingOne eine Verbindung zur SCIM-Ressource herstellen kann.

SCIM-Bereitstellung deaktivieren

So deaktivieren Sie die SCIM-Bereitstellung:

  1. Wechseln Sie von der Seite Team- und Sicherheitseinstellungen zu SCIM-Bereitstellung.
  2. Klicken Sie auf Deaktivieren. Ihr SCIM-API-Schlüssel wird automatisch gelöscht.

Einen SCIM-API-Schlüssel rotieren

So rotieren Sie Ihren SCIM-API-Schlüssel:

  1. Gehen Sie im Menü Entwickler zu API-Schlüssel.
  2. Klicken Sie neben Ihrem SCIM-API-Schlüssel auf das Überlaufmenü () und wählen Sie Schlüssel rotieren.
Auf dieser Seite