SCIM可以更新非SCIM创建的资源吗？

Question

具体而言，SCIM能否用于将用户添加到预先存在的(非SCIM创建的)组中？我们需要通过SCIM提供用户，然后将他们添加到站点(一个.Net应用程序)中手动创建的组中。

据我所知，不能这样做。组更新请求(即补丁请求)似乎需要"id“属性作为组的唯一标识符，并且此"id”似乎只在SCIM创建请求中生成。因此，如果资源(组/用户)最初不是通过SCIM创建的，则SCIM无法更新/替换/删除它。对吗？

e.g. PATCH /Groups/acbf3ae7-8463-4692-b4fd-9b4da3f908ce

我考虑了一个变通的约定，比如使用" User :1234“和" Group :1234”作为"id“属性格式(即资源类型内部类型特定的ID)，然后任何用户或组都可以由"id”指定，即使它不是通过SCIM创建的。但这看起来很老套。

有没有更好的方法来做这件事？非常感谢您的帮助，这是SCIM的新手！

Answer 1

可以，SCIM可用于管理存在已有非SCIM创建的对象的“棕地”场景。

通常，发生在用户对象上的逻辑流程是：

• GET on /users，带有使用唯一性约束属性(如userName、电子邮件)的筛选器(在RFC7644 3.4.2.2中定义)。
• 如果找不到符合该条件的用户，则创建一个新用户，并将其发布到/users
• 如果找到用户，则即使该用户不是通过SCIM

创建的，也应使用id值返回该用户

"Search using a friendly identifier -> create if not found/cache The id值并将其与其他目录中的现有用户关联“的一般逻辑非常简单，也可以成功地与其他对象类型(即:组)一起使用。