Översikt
Om din organisation har många användare med åtkomst till Sysarb — typiskt via Involve eller Pay Management — kan det snabbt bli ohållbart att hålla användaråtkomsten uppdaterad manuellt. Varje nyanställning, rollbyte eller avslutad anställning kräver en manuell uppdatering i Sysarb, och risken för felaktig eller inaktuell åtkomst ökar med organisationens storlek.
För att lösa detta stödjer Sysarb automatisk etablering av användare och roller baserat på den öppna standarden SCIM (System for Cross-domain Identity Management). Med SCIM blir din identitetsleverantör (IdP) — exempelvis Microsoft Entra, Okta eller Google Workspace — den enda källan till sanning för vem som har åtkomst till Sysarb och med vilken roll. Ändringar i din IdP återspeglas automatiskt i Sysarb, utan manuell handpåläggning.
Sysarbs SCIM-implementation följer SCIM 2.0-protokollet (RFC 7643 / RFC 7644) och är kompatibel med alla IdP:er som stöder SCIM 2.0.
För organisationer med få användare eller sällan förekommande åtkomständringar kan manuell användarhantering fortfarande vara det enklare alternativet — se skapa en användare, skapa utökade roller och länka eller inaktivera en chef.
Den här guiden täcker tre SCIM-scenarier. Rätt scenario beror på din IdP-uppsättning och din organisations tekniska kapacitet.
Obs: Den här guiden riktar sig till både HR/verksamheten och IT/IAM-resurser. HR definierar rollmappning och åtkomstlogik; IT hanterar den tekniska konfigurationen i IdP:n. För fullständiga tekniska specifikationer — inklusive API-endpoints, attributscheman och request/response-format — se SCIM API Teknisk referens.
Vilket scenario gäller för er?
SCIM: Endast användarprovisionering | Automatiserad via IdP | Manuell (Sysarb) | Organisationer som vill ha automatiserad livscykelhantering för användare men föredrar att hantera rolltilldelningar manuellt i Sysarb, utan att använda SCIM-grupper |
SCIM: Användar- och rolltilldelning (manuell mappning) | Automatiserad via IdP | Manuell per SCIM-grupp (Sysarb) | Organisationer med en IdP som stödjer SCIM och SSO, där SCIM-grupper etableras från IdP:n och rollmappning görs manuellt per SCIM-grupp i Sysarb |
Extended SCIM: Användar- och rolltilldelning (automatiserad mappning) | Automatiserad via IdP | Automatiserad via IdP | Organisationer med en IdP som stödjer SCIM och SSO, samt förmågan att konfigurera SCIM-grupper med strukturerade roll- och organisationsenhetsattribut |
Extended SCIM: Användar- och rolltilldelning (automatiserad mappning) är det rekommenderade målläget — det kräver mer initialt konfigurationsarbete men minst löpande administration när det väl är på plats.
SCIM: Endast användarprovisionering passar organisationer som behöver automatiserad livscykelhantering för användare men inte är redo att delegera rolltilldelning till IdP:n. Kontakta din Sysarb customer success-kontakt för att diskutera uppsättning om detta gäller er.
Förutsättningar
Innan du påbörjar uppsättningen i Sysarb, kontrollera att följande är på plats:
SSO: Single Sign-On är aktiverat. SCIM rekommenderas starkt att kombineras med SSO. Se vår SSO-konfigurationsguide för instruktioner.
Identitetsleverantör: Du har en IdP (t.ex. Microsoft Entra, Okta, Google Workspace) som stöder SCIM 2.0-protokollet
Konsistens med huvudintegration/import: Användare i din IdP måste identifieras med samma e-postadress som används i Sysarbs dataimport. SCIM använder e-post för att koppla etablerade användare till befintliga medarbetarposter — en avvikelse leder till okopplade användare
Obs: Det är din IdP — inte ditt HRIS — som behöver stödja SCIM och skicka användare och roller till Sysarb. De två dataflödena måste vara konsekventa: e-postadresser och organisationsenhetsnummer måste stämma överens mellan din HRIS-import och din IdP-uppsättning, annars kan användare inte kopplas korrekt till sina medarbetarposter.
Ytterligare förutsättning för Extended SCIM:
SCIM-grupper i din IdP måste konfigureras med följande strukturerade attribut, med hjälp av SCIM Enterprise Group Extension-schemat:
role— ett numeriskt rollvärde som identifierar vilken Sysarb-roll som ska tilldelas (t.ex."50"för Chef). Se SCIM API Teknisk referens för den fullständiga listan med giltiga rollkoder.unitNumber— organisationsenhetens identifierare som matchar det enhetsnummer som används i din Sysarb-dataimport
SCIM-gruppnamn i IdP:n är flexibla — Sysarb läser de strukturerade attributen, inte namnet.
Konsistens med huvudintegration/import:
unitNumber-värdena i dina SCIM-grupper måste matcha organisationsenheternas identifierare i din Sysarb-dataimport. En avvikelse leder till ett etableringsfel och ingen rolltilldelning sparas.
Tips: Att konfigurera SCIM-gruppstrukturen kräver input från två separata funktioner. HR definierar affärslogiken — vilka roller som ska finnas i Sysarb och vem som ska ha dem i vilken del av organisationen. IT / IAM översätter sedan detta till en SCIM-gruppstruktur som IdP:n kan implementera och Sysarb kan konsumera. Slutför och dokumentera HR-beslutet innan IT involveras. Kontakta din Sysarb customer success-kontakt om du behöver hjälp att tänka igenom mappningen.
Installationssteg
Stegen nedan täcker SCIM: Användar- och rolltilldelning (manuell mappning) och Extended SCIM: Användar- och rolltilldelning (automatiserad mappning). Om din organisation ställer in SCIM: Endast användarprovisionering, kontakta din Sysarb customer success-kontakt — det scenariot hanteras från fall till fall och täcks inte här.
Uppsättningen görs i Sysarb under Inställningar → System → Användarprovisionering (SCIM).
Steg 1 — Verifiera förutsättningar
Innan du fortsätter, bekräfta att alla förutsättningar är på plats. Se avsnittet Förutsättningar ovan för detaljer.
Huvudintegrationen är aktiv och medarbetarposter i Sysarb inkluderar e-postadresser
SSO är aktiverat
Om något av dessa inte är på plats, slutför det innan du fortsätter.
Steg 2 — Granska rolltillgång
Under Inställningar → System → Rolltillgång kan du aktivera eller inaktivera åtkomst per roll. Som standard är åtkomst aktiverad för alla roller. När SCIM är aktiverat kan alla medarbetare med en tilldelad roll logga in på Sysarb.
Om du vill verifiera att rolletableringen är korrekt innan användarna får åtkomst, inaktivera de relevanta rollerna här innan du aktiverar SCIM. Återaktivera dem när du har bekräftat att uppsättningen är som förväntat.
Tillgängliga roller i Sysarb inkluderar: Medarbetare, Chef, Sektionschef, HR Business Partner, Operativ administratör, Skrivskyddad och Facklig. För en fullständig översikt av vad varje roll kan se och göra, se Roller — vem kan göra vad.
Steg 3 — Konfigurera din IdP
Det här steget involverar både HR och IT. Om du följt förberedelsen som rekommenderas i tipset ovan har HR redan definierat rollmappningen och IT kan nu implementera den. Om det grundarbetet inte är gjort, gör det innan du fortsätter — IT kan inte konfigurera SCIM-gruppstrukturen utan att känna till den avsedda rollmappningen.
Arbeta med din IT-support eller IAM-ansvarig för att konfigurera din IdP att skicka användare och SCIM-gruppdata till Sysarb baserat på den överenskomna rollmappningen.
Vad Sysarb kräver från din IdP:
Användare och SCIM-grupper skickas till Sysarb via SCIM 2.0-protokollet
Varje användare måste ha en unik e-postadress som matchar den som används i din Sysarb-dataimport och SSO-inloggning
SCIM-grupper måste vara strukturerade enligt beskrivningen i förutsättningarna ovan — för Extended SCIM måste SCIM-grupper inkludera attributen
roleochunitNumbermed Enterprise Group Extension-schemat
Dela följande uppgifter från Sysarb med personen som konfigurerar din IdP (se Steg 4).
Steg 4 — Tillhandahåll SCIM-konfigurationsuppgifter till din IT/IAM-resurs
I Sysarb, navigera till Inställningar → System → Användarprovisionering (SCIM) och kopiera följande:
Bas-URL | |
API-nyckel | Visas i SCIM-konfigurationsdialogen — klicka på Återskapa om en ny nyckel behövs |
Din IT/IAM-resurs anger dessa uppgifter i din IdP för att upprätta anslutningen. API-nyckeln används som Bearer-token för autentisering.
Viktigt: Användarprovisionering aktiveras så snart API-nyckeln accepteras av IdP:n och IdP:n börjar skicka data — användare skapas, uppdateras eller inaktiveras i Sysarb från och med det. Rolletablering är ett separat steg: SCIM-gruppdata tas emot och lagras, men rolltilldelningar tillämpas inte förrän du explicit aktiverar rolletablering i Steg 6. Medarbetarrollen tilldelas inte via rolletablering; den tilldelas automatiskt första gången en användare loggar in, förutsatt att användaren är kopplad till en medarbetarpost.
Obs om okopplade användare: Om en användare etableras av IdP:n innan en matchande medarbetarpost finns i Sysarb (baserat på e-postadress), skapas användaren i ett okopplat tillstånd. Sysarb försöker koppla användaren till motsvarande medarbetarpost i ett schemalagt återkommande jobb. Säkerställ att medarbetarposter i Sysarb har e-postadresser registrerade innan du aktiverar SCIM.
Steg 5 — Tilldela roll och organisation till etablerade SCIM-grupper
När IdP:n är konfigurerad och SCIM-grupper skickas till Sysarb, navigera till Inställningar → System → Användarprovisionering (SCIM). En tabell visas med alla etablerade SCIM-grupper med kolumner för Grupp-ID, Gruppnamn, Användare, Roll och Organisation.
Manuell mappning: Tilldela Roll och Organisation manuellt till varje SCIM-grupp med hjälp av rullgardinsmenyerna i tabellen. Du kan tilldela SCIM-grupper en i taget, eller markera flera SCIM-grupper med kryssrutorna och använda åtgärdsraden längst ned (Redigera roll / Redigera organisation) för att tilldela samma värde till flera SCIM-grupper samtidigt. Du kan söka och filtrera på Grupp-ID, Gruppnamn, Roll eller Organisation för att navigera i stora listor.
Klicka på användarantalet i en rad för att se en skrivskyddad lista över användare i den SCIM-gruppen. Om en användare har kopplats till en medarbetarpost visas även deras befattningstitel.
Automatiserad mappning: Roll och Organisation tilldelas automatiskt baserat på attributen role och unitNumber i SCIM-gruppen. Rader där data har tillhandahållits av SCIM-lösningen är skrivskyddade. Rader där data ännu inte tillhandahållits kan redigeras manuellt.
Obs: Om en SCIM-grupps unitNumber inte matchar någon organisationsenhet i Sysarb, eller om role-värdet inte matchar en giltig Sysarb-roll, tar IdP:n emot ett fel och ingen användar- eller rolluppdatering från det anropet sparas. Granska dina SCIM-gruppattribut om du ser etableringsfel.
Alla SCIM-grupper som är avsedda för rolltilldelning måste ha en roll och organisation tilldelad innan aktivering. Grupper som enbart används för användarprovisionering (t.ex. en grupp för alla användare) behöver inte tilldelas en roll och kan lämnas omappade. En banner längst ned på sidan bekräftar när alla relevanta SCIM-grupper är klara och uppmanar dig att aktivera.
Steg 6 — Aktivera rolletablering
När alla SCIM-grupper har tilldelats en roll och organisation, klicka på Aktivera rolletablering. En bekräftelsedialog visas:
Att aktivera rolletablering gör följande: 1. Tar bort alla befintliga roller i Sysarb — alla roller hanteras nu via användar- och rolletablering. 2. Skapar de tilldelade rollerna för grupperna och användarna. 3. Alla medarbetare ges åtkomst till Sysarb om du inte har blockerat åtkomst för specifika roller.
⚠️ Om du har befintliga användare i Sysarb, kommer aktivering av rolletablering att ta bort alla aktuella rolltilldelningar. Arbeta igenom den här guiden noggrant och säkerställ att din rolluppsättning är fullständig och verifierad innan du aktiverar. Din customer success-kontakt samordnar eventuell nödvändig omtilldelning av åtkomst innan aktivering.
⚠️ Se till att du åtminstone har tilldelat roll och organisation till dina administratörer innan du aktiverar, för att undvika att låsa ut dig själv.
Markera bekräftelserutan och klicka på Aktivera rolletablering för att fortsätta. Statusindikatorer längst upp på sidan uppdateras för att visa Aktiv användarprovisionering och Aktiv rolletablering.
Obs: När SCIM är aktivt är användarhanteringsuppgifter (skapa, uppdatera, ta bort) låsta i Sysarbs gränssnitt och måste hanteras via IdP:n.
Vad händer när saker förändras
När SCIM är aktivt hanteras vanliga HR-händelser på följande sätt:
Nyanställd (utan roll) | Användare skapas via SCIM; kopplad till medarbetarpost via e-postadress. Medarbetarrollen tilldelas automatiskt vid första inloggning. | Samma som Extended SCIM |
Nyanställd (med roll) | Roll tilldelas automatiskt via SCIM-gruppattribut i IdP:n | Användare ärver roll baserat på aktuell SCIM-gruppuppsättning i IdP:n; om helt nytt team måste en ny SCIM-grupp först skapas i IdP:n och sedan tilldelas i Sysarb |
Medarbetare byter organisationsenhet | Hanteras via dataimport — SCIM påverkas inte | Samma som Extended SCIM |
Medarbetare byter roll | SCIM-gruppmedlemskap uppdateras i IdP:n och synkroniseras via SCIM | SCIM-gruppmedlemskap uppdateras i IdP:n; om ny SCIM-grupp måste admin tilldela roll + org i Sysarb innan det träder i kraft |
Avslutad anställning | Medarbetare inaktiveras via import; användare inaktiveras eller tas bort i IdP:n och synkroniseras via SCIM | Samma som Extended SCIM |
Organisationsstrukturändring | Ändringar importeras via HRIS; återspeglas i SCIM endast om organisationsenheternas identifierare är konsekventa | Ändringar importeras via HRIS; nya noder kräver manuell tilldelning i Sysarb |
Obs om organisationsstrukturförändringar: Alla organisationsstrukturförändringar kräver förhandstestning. En ändrad överordnad nod innebär särskilt en risk — rådfråga din Sysarb-kontakt innan du gör strukturella ändringar om du är osäker på effekten.
Obs om timing: Medarbetardata (org, roll) uppdateras via HRIS-importen enligt ett schema. Om en SCIM-händelse och en import inte är synkroniserade i tid kan det uppstå en kort fördröjning innan ändringar är fullt återspeglade. Ta hänsyn till detta vid planering av onboarding eller rollbyten.
Tänk på följande
Allt-eller-inget för rolletablering. När rolletablering aktiveras tas alla befintliga rolltilldelningar bort och ersätts av roller härledda från SCIM-gruppdata. Det är inte möjligt att låta SCIM hantera vissa roller medan andra hanteras manuellt inom samma tenant.
Chef- och Biträdande chef-rollerna. SCIM kan inte skilja mellan Chef och Biträdande chef när flera personer är tilldelade till samma SCIM-grupp. Om mer än en person finns i en SCIM-grupp mappad till Chef-rollen behandlas alla medlemmar som Biträdande chefer. Därför rekommenderas inte SCIM för kunder som använder Pay Management och som är beroende av rollen Biträdande chef. Om detta gäller din organisation, kontakta din Sysarb customer success-kontakt innan du fortsätter.
Återgång från Extended SCIM (automatiserad mappning) till manuell mappning. En återgång kräver manuell omtilldelning av roll och organisation för alla SCIM-grupper i Sysarb. Kontakta Sysarb om du behöver göra detta.
Efter aktivering
När SCIM är aktivt visar SCIM-sidan en tabell över alla etablerade SCIM-grupper med deras tilldelade roller och organisationer, samt en räknare som visar tilldelade roller kontra totalt (t.ex. 14/14).
Från menyn (⋮) uppe till höger kan du komma åt:
SCIM-konfiguration — visa bas-URL och API-nyckel. Av säkerhetsskäl visas inte den aktuella nyckeln i sin helhet. Klicka på Återskapa för att skapa en ny om det behövs, och uppdatera den sedan i din IdP.
Aktivera rolletablering — synlig innan rolletablering är aktiv
Inaktivera rolletablering — rolltilldelning via SCIM inaktiveras. Befintliga rolltilldelningar bevaras. Alla nya användare som etableras efter inaktivering får endast Medarbetarrollen vid första inloggning — inga andra roller tillämpas förrän rollhantering hanteras manuellt. Obs: användarlivscykeln (skapa, uppdatera, inaktivera) fortsätter att hanteras via IdP:n även efter att rolletablering inaktiverats.
Ta bort SCIM-integration — tar bort integrationen helt: API-nyckeln raderas, inga ytterligare uppdateringar tas emot från IdP:n, och alla användare och roller måste hanteras manuellt framöver. Alla befintliga användare och roller finns kvar.
Ansvarsöversikt
SSO-uppsättning | Kund IT / IAM | IdP-leverantör |
Definition av rollmappning (vem får vilken roll i vilken organisationsenhet) | Kund HR / verksamhet | Sysarb support eller customer success |
IdP SCIM-konfiguration och SCIM-gruppstruktur | Kund IT / IAM | IdP-leverantör |
SCIM-uppsättning i Sysarbs gränssnitt (steg 1–6) | Kund | Sysarb support eller customer success |
SCIM-grupp-till-roll-mappning i Sysarb (manuell mappning) | Kund HR / verksamhet | Sysarb support eller customer success |
Löpande underhåll av SCIM-grupper | Kund IT / IAM | Sysarb support eller customer success |
Felsökning
Användare inte etablerad | SCIM-grupp inte skickad från IdP:n | Kontrollera SCIM-grupptilldelning och synkroniseringsstatus i din IdP |
Fel roll eller organisationsenhetstilldelning | SCIM-gruppattribut felaktiga | Granska värdena för |
Etableringsfel returnerat till IdP:n |
| Verifiera att |
Dubbla användarposter | E-postadressavvikelse mellan IdP:n och befintliga Sysarb-användare | Justera e-postadresser innan SCIM aktiveras |
Användare inte inaktiverad vid offboarding | Användare inte borttagen från SCIM-grupp i IdP:n | Granska offboarding-processen i IdP:n |
Alla roller borttagna oväntat | Rolletablering aktiverades innan alla SCIM-grupper var mappade | Inaktivera rolletablering, mappa om SCIM-grupper och aktivera sedan igen |
Roll uppdateras inte efter organisationsstrukturändring | Organisationsenheternas identifierare är inkonsekventa mellan import och SCIM-grupper | Verifiera att |
Kan inte återgå från automatiserad till manuell mappning | SCIM-grupper skrivskyddade när Extended SCIM-data finns | Kontakta Sysarb för hjälp med omtilldelning |
Support
Kontakta Sysarb via [email protected] eller direkt i gränssnittet. Om du är i en aktiv implementation är din customer success-kontakt också tillgänglig för hjälp.