Skill

implementing-scim-provisioning-with-okta

Implements SCIM 2.0 API server in Python using Flask or FastAPI for Okta user provisioning, deprovisioning, updates, groups, and lifecycle management.

Python

Popularity

Stars

Forks

Invocation

How this skill is triggered — by the user, by Claude, or both

Slash command

/cybersecurity-skills-zh:implementing-scim-provisioning-with-okta

User invocable

Model invocable

Inline context

Default effort

Context Preview

The summary Claude sees in its skill listing — used to decide when to auto-load this skill

SCIM（System for Cross-domain Identity Management，跨域身份管理系统）是一种开放标准协议（RFC 7644），用于自动化 Okta 等身份提供商与服务提供商之间的用户身份信息交换。本技能涵盖构建符合 SCIM 2.0 的 API 端点，并与 Okta 集成，实现包括用户配置、取消配置、配置文件更新和组管理在内的自动化用户生命周期管理。

Supporting Files

LICENSEassets/template.mdreferences/api-reference.mdreferences/standards.mdreferences/workflows.mdscripts/agent.pyscripts/process.py

SKILL.md

202 lines · ~1.4k tokens

Stats

LanguagePython

Stars13

Forks2

MaintenanceExcellent

Last CommitApr 28, 2026

Actions

View Source View Plugin View on GitHub View README

使用 Okta 实施 SCIM 配置

概述

前提条件

具有管理员访问权限的 Okta 租户（开发者或生产环境）
具有 REST API 用户管理能力的应用程序
TLS 加密端点（必须使用 HTTPS）
Okta API 令牌或 OAuth 2.0 客户端凭据
Python 3.9+ 并安装 Flask 或 FastAPI

核心概念

SCIM 2.0 协议

SCIM 通过 JSON 定义了表示用户和组的标准 schema，以及 CRUD 操作的 RESTful API：

操作	HTTP 方法	端点	描述
创建用户	POST	/scim/v2/Users	配置新用户账户
读取用户	GET	/scim/v2/Users/{id}	获取用户详情
更新用户	PUT/PATCH	/scim/v2/Users/{id}	修改用户属性
删除用户	DELETE	/scim/v2/Users/{id}	删除用户账户
列出用户	GET	/scim/v2/Users	带过滤条件列出用户
创建组	POST	/scim/v2/Groups	创建组
管理组	PATCH	/scim/v2/Groups/{id}	添加/移除组成员

Okta SCIM 集成架构

Okta (IdP) ──SCIM 2.0 over HTTPS──> SCIM 服务器 ──> 应用数据库
     │                                     │
     ├── 用户分配                          ├── 创建/更新用户
     ├── 用户取消分配                      ├── 停用用户
     ├── 配置文件推送                      ├── 同步属性
     └── 组推送                           └── 管理组

必需的 SCIM 端点

ServiceProviderConfig (/scim/v2/ServiceProviderConfig)：公告 SCIM 功能
ResourceTypes (/scim/v2/ResourceTypes)：描述支持的资源类型
Schemas (/scim/v2/Schemas)：发布 SCIM schema 定义
Users (/scim/v2/Users)：用户生命周期操作
Groups (/scim/v2/Groups)：组管理操作

实施步骤

第 1 步：构建 SCIM 2.0 API 服务器

创建基于 Flask 的 SCIM 服务器，实现核心端点。服务器必须处理：

用户 CRUD：创建、读取、更新、删除和列出用户
过滤：支持 userName 上的 eq 过滤条件（Okta 要求）
分页：返回 startIndex、itemsPerPage 和 totalResults
认证：所有端点上的 Bearer Token 验证

from flask import Flask, request, jsonify
import uuid
from datetime import datetime

app = Flask(__name__)

# Okta 认证使用的 Bearer Token
SCIM_BEARER_TOKEN = "your-secure-token-here"

def require_auth(f):
    def wrapper(*args, **kwargs):
        auth = request.headers.get("Authorization", "")
        if not auth.startswith("Bearer ") or auth[7:] != SCIM_BEARER_TOKEN:
            return jsonify({"detail": "Unauthorized"}), 401
        return f(*args, **kwargs)
    wrapper.__name__ = f.__name__
    return wrapper

@app.route("/scim/v2/Users", methods=["POST"])
@require_auth
def create_user():
    data = request.json
    user_id = str(uuid.uuid4())
    user = {
        "schemas": ["urn:ietf:params:scim:schemas:core:2.0:User"],
        "id": user_id,
        "userName": data.get("userName"),
        "name": data.get("name", {}),
        "emails": data.get("emails", []),
        "active": True,
        "meta": {
            "resourceType": "User",
            "created": datetime.utcnow().isoformat() + "Z",
            "lastModified": datetime.utcnow().isoformat() + "Z",
            "location": f"/scim/v2/Users/{user_id}"
        }
    }
    # 将用户持久化到数据库
    return jsonify(user), 201

@app.route("/scim/v2/Users", methods=["GET"])
@require_auth
def list_users():
    filter_param = request.args.get("filter", "")
    start_index = int(request.args.get("startIndex", 1))
    count = int(request.args.get("count", 100))
    # 解析过滤条件: userName eq "[email protected]"
    # 使用过滤条件查询数据库
    return jsonify({
        "schemas": ["urn:ietf:params:scim:api:messages:2.0:ListResponse"],
        "totalResults": 0,
        "startIndex": start_index,
        "itemsPerPage": count,
        "Resources": []
    })

第 2 步：配置 Okta 应用程序

创建 SCIM 应用集成：
- 导航至"Okta Admin Console > Applications > Create App Integration"
- 选择 SWA 或 SAML 2.0 作为登录方法
- 在"General"选项卡中，为 Provisioning 选择 SCIM
配置 SCIM 连接：
- SCIM 连接器基础 URL：https://your-app.com/scim/v2
- 唯一标识符字段：userName
- 支持的配置操作：推送新用户、推送配置文件更新、推送组
- 认证模式：HTTP Header（Bearer Token）
启用配置功能：
- 发送至应用：创建用户、更新用户属性、停用用户
- 配置 Okta 配置文件与 SCIM schema 之间的属性映射

第 3 步：映射属性

将 Okta 用户配置文件属性映射到 SCIM schema：

Okta 属性	SCIM 属性	方向
login	userName	Okta -> 应用
firstName	name.givenName	Okta -> 应用
lastName	name.familyName	Okta -> 应用
email	emails[type eq "work"].value	Okta -> 应用
department	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	Okta -> 应用

第 4 步：实现错误处理

SCIM 指定了标准错误响应格式：

{
  "schemas": ["urn:ietf:params:scim:api:messages:2.0:Error"],
  "detail": "用户已存在",
  "status": "409",
  "scimType": "uniqueness"
}

常见错误代码：400（错误请求）、401（未授权）、404（未找到）、409（冲突）、500（服务器内部错误）。

第 5 步：使用 Runscope/Okta SCIM 验证器测试

Okta 提供自动化 SCIM 测试套件（通过 Runscope/BlazeMeter），验证您的 SCIM 实现是否符合所有必需操作：

从 OIN 提交门户导入 Okta SCIM 2.0 测试套件
配置基础 URL 和认证令牌
运行涵盖用户 CRUD、过滤和分页的完整测试套件
在提交到 OIN 之前修复所有失败的测试

implementing-scim-provisioning-with-okta

Popularity

Invocation

Context Preview

Supporting Files

SKILL.md

implementing-scim-provisioning-with-okta

Popularity

Invocation

Context Preview

Supporting Files

SKILL.md

使用 Okta 实施 SCIM 配置

概述

前提条件

核心概念

SCIM 2.0 协议

Okta SCIM 集成架构

必需的 SCIM 端点

实施步骤

第 1 步：构建 SCIM 2.0 API 服务器

第 2 步：配置 Okta 应用程序

第 3 步：映射属性

第 4 步：实现错误处理

第 5 步：使用 Runscope/Okta SCIM 验证器测试

验证清单

参考资料

Similar Skills

使用 Okta 实施 SCIM 配置

概述

前提条件

核心概念

SCIM 2.0 协议

Okta SCIM 集成架构

必需的 SCIM 端点

实施步骤

第 1 步：构建 SCIM 2.0 API 服务器

第 2 步：配置 Okta 应用程序

第 3 步：映射属性

第 4 步：实现错误处理

第 5 步：使用 Runscope/Okta SCIM 验证器测试

验证清单

参考资料

Similar Skills