SCIM端点和公共DNS

Question

我目前正在学习SCIM，我遇到的一件事是SCIM端点需要在公共DNS上，以便国内流离失所者可以呼叫他们。为了测试目的，我使用ngrok在互联网上公开了我的本地主机，但我很好奇是否有任何方法可以通过不在公共DNS上公开我的SCIM端点来实现这一点。我相信使用Azure，这是可能的，通过Azure AD供应代理，但我想知道是否有一个选择，如Azure供应代理或其他任何其他国内流离失所者，如Okta或PingOne。

谢谢

Answer 1

SCIM协议，RFC-7644没有指定任何有关供应代理实现细节的内容。协议规定了IdP和目标域应用程序必须共享的语言。它甚至不指定身份验证层。

但是你的观点是正确的:如果你的必须是网络门控的呢？

供应代理纯粹是一个特定于实现的组件，不同的身份提供者选择提供它们的管理员作为在网络门控环境(例如Azure AD供应代理和Okta供应代理)中允许SCIM配置的一种手段。如果stress是在不允许IdP直接网络访问的网络约束下关闭的，那么您将需要一个代理，但必须强调代理本身并不是SCIM协议的一部分。

换句话说，供应代理是由您的身份提供者(而不是SCIM2.0协议)给予您的礼貌。

无论您寻求建立您的开发或生产环境，您的IdP如何与该环境的SCIM交互是一个决定--代理还是不代理。至于您的本地开发环境，完全取决于您是继续使用像ngrok这样的反向隧道，还是决定在您的开发站点上安装您的IdP代理。

关于事件驱动体系结构的附带说明：

最近，我在SCIM2.0上编写了一个高级别的博客帖子。这个想法很简单:不是“刮”身份提供者的用户池的状态，而是切换到事件驱动的心态，其中IdP将用户池中的移动情况通知您的SCIM租户(即scraping)。转而使用代理某种程度上增强了基于事件的SCIM2.0体系结构的思想，但它确实可以绕过许多组织所具有的网络约束。