Externe Benutzerbereitstellung konfigurieren
Wenn Sie die externe Benutzerbereitstellung aktivieren, ermöglicht dies die automatische Benutzerverwaltung über eine Datenquelle des Identitätsanbieters, indem sie das System für ein domänenübergreifendes Identitätsmanagement (SCIM) nutzt.
Berechtigungen
Die externe Benutzerbereitstellung muss in Diligent One aktiviert und bei einem Identitätsanbieter eingerichtet werden. Um die externe Benutzerbereitstellung für eine Organisation zu konfigurieren, ist jemand mit Systemadministratorberechtigungen in Diligent One und jemand mit Administratorberechtigungen beim Identitätsanbieter erforderlich. Diese Berechtigungen können einer oder mehreren Personen gehören, die die Einrichtung der externen Benutzerbereitstellung koordinieren müssen. Im Allgemeinen sollte dies nur einmal eingerichtet werden müssen. Anschließend läuft das System von alleine.
Anforderungen
Diligent One unterstützt die Benutzerbereitstellung über SCIM 2.0, um eine automatische Benutzerverwaltung aus einer Datenquelle zu ermöglichen.
Unterstützte Vorgänge
Sobald die externe Benutzerbereitstellung aktiviert ist, wird das Hinzufügen oder Entfernen von Benutzern zu einer Organisation und die Aktualisierung von Benutzerprofilen automatisch von einem Identitätsanbieter an Diligent One übertragen.
Zukünftig ist die Unterstützung folgender Vorgänge geplant: Gruppenzuweisung und Gruppenverwaltung (Hinzufügen und Löschen).
Wenn Sie die externe Benutzerbereitstellung aktivieren, können Benutzer weiterhin direkt in Diligent One manuell hinzugefügt und verwaltet werden. Durch die Aktivierung der externen Benutzerbereitstellung erweitern Sie Ihre Optionen zur Benutzerverwaltung und können beide Möglichkeiten in einer Hybridlösung nutzen.
Zur Verdeutlichung: Benutzer, die ausschließlich in Diligent One hinzugefügt wurden und nicht mit dem Identitätsanbieter synchronisiert sind, können nur in Diligent One verwaltet werden. Von einem Identitätsanbieter synchronisierte Benutzer sollten nur beim Identitätsanbieter verwaltet werden. Wenn Änderungen an synchronisierten Benutzern in Diligent One vorgenommen werden, werden die Änderungen bei der nächsten Synchronisierung überschrieben. Siehe Unterstützung für die hybride Benutzerbereitstellung.
Unterstützung für die hybride Benutzerbereitstellung
Idealerweise dient der Identitätsanbieter als einzige Quelle für alle Benutzer, um die Benutzerverwaltung zu optimieren und zu automatisieren. Es kann dennoch vorkommen, dass eine Hybridlösung die beste Vorgehensweise bei der Benutzerverwaltung in Ihrem System ist. Beispielsweise müssen Sie möglicherweise keine Benutzer zu einem Identitätsanbieter hinzufügen, wenn diese Benutzer nur vorübergehenden Zugriff zwecks Fehlerbehebung oder Beratung benötigen.
In einer Hybridlösung können Benutzer, die ausschließlich in Diligent One hinzugefügt wurden und nicht mit dem Identitätsanbieter synchronisiert sind, nur in Diligent One verwaltet werden. Von einem Identitätsanbieter synchronisierte Benutzer sollten nur beim Identitätsanbieter verwaltet werden.
Wichtig
Die folgenden Informationen sollen auf mögliche Probleme hinweisen, die sich aus einer Hybridlösung ergeben können, damit Sie die beste Option für Ihr Unternehmen wählen und diese Probleme vermeiden können:
- Derzeit gibt es in Diligent One visuell keine Unterscheidung zwischen Benutzern, die über den Identitätsanbieter verwaltet werden, und solchen, die manuell in Diligent One hinzugefügt werden.
- Benutzer, die manuell in Diligent One hinzugefügt und nicht mit dem Identitätsanbieter synchronisiert wurden, existieren nur in Diligent One und können nur in Diligent One verwaltet werden.
- Verwalten Sie Benutzeraktualisierungen nicht in Diligent One, wenn der Benutzer bereits mit dem Identitätsanbieter synchronisiert ist. Wenn ein Benutzer, der mit dem Identitätsanbieter synchronisiert ist, in Diligent One bearbeitet wird, werden diese Änderungen durch eine nachfolgende, automatische Synchronisierung durch den Identitätsanbieter überschrieben. Wenn ein Benutzer synchronisiert ist, ist der Identitätsanbieter die einzige vertrauenswürdige Quelle, auf die das Profil standardmäßig zurückgreift. In diesem Fall sollten alle Änderungen beim Identitätsanbieter vorgenommen werden, damit diese an Diligent One übertragen werden.
- Das Risiko ist zwar gering, jedoch kann das Entfernen eines synchronisierten Benutzers aus Diligent One vor dem Entfernen dieses Benutzers beim Identitätsanbieter zu Automatisierungsfehlern in der externen Quelle führen. Wenn dies geschieht, sind möglicherweise manuelle Maßnahmen in der externen Quelle erforderlich, um Diligent One erneut mit dem Identitätsanbieter zu synchronisieren. Wenden Sie sich in diesem Fall zur Unterstützung an den Support.
Beschränkungen
Die externe Benutzerbereitstellung ist auf eine Integration pro Organisation beschränkt.
Externe Benutzerbereitstellung in Diligent One aktivieren
Die Einrichtung der externen Benutzerbereitstellung besteht aus zwei Hauptkomponenten: die Aktivierung der externen Benutzerbereitstellung in Diligent One und die Einrichtung Ihres Identitätsanbieters.
Aktivierung der externen Benutzerbereitstellung in Diligent One
Wenn Sie die externe Benutzerbereitstellung in Diligent One aktivieren, wird ein API-Schlüssel generiert, den Sie Ihrem Identitätsanbieter hinzufügen können, um den Einrichtungsprozess abzuschließen.
- Öffnen Sie Launchpad.
Wenn Ihr Unternehmen mehr als eine Instanz in Diligent One verwendet, stellen Sie sicher, dass die entsprechende Instanz aktiv ist.
- Wählen Sie Plattform-Einstellungen > Organisation aus.
Wenn Organisation nicht als Option zur Verfügung steht, besitzt das Konto, unter dem Sie sich angemeldet haben, keine Administratorberechtigungen.
- Wählen Sie Benutzerbereitstellung verwalten aus. Es öffnet sich die Seite Benutzerbereitstellung.
- Wählen Sie Benutzerbereitstellung aktivieren aus. Hierdurch wird ein API-Schlüssel generiert und Sie erhalten die Basis-URL, die Sie aus dem Dialogfeld Einrichtungsdetails für die Bereitstellung kopieren können.
- Kopieren Sie den API-Schlüssel und die Basis-URL und speichern Sie die Werte an einem sicheren Ort, bevor Sie das Dialogfeld Einrichtungsdetails für die Bereitstellung schließen.
- Nachdem Sie den API-Schlüssel und die Basis-URL gespeichert haben, wählen Sie Schließen aus. Dadurch wird das Dialogfeld Einrichtungsdetails für die Bereitstellung geschlossen und die Seite Benutzerbereitstellung wird neu geladen, die daraufhin bestätigt, dass die externe SCIM-Benutzerbereitstellung aktiviert ist.
- Der letzte Einrichtungsschritt der externen Benutzerbereitstellungskonfiguration erfolgt außerhalb von Diligent One bei ihrem Identitätsanbieter. Siehe Details Ihres Identitätsanbieters einrichten.
Achtung
Aus Sicherheitsgründen ist dies Ihre einzige Gelegenheit für den Zugriff auf den API-Schlüssel. Wenn Sie den API-Schlüssel nicht speichern und Sie ihn verlieren oder vergessen, müssen Sie einen neuen erstellen, indem Sie die externe Benutzerbereitstellung vom Identitätsanbieter und Diligent One kurzzeitig deaktivieren, ein neues Token generieren und die externe Benutzerbereitstellung sowohl in Diligent One als auch beim Identitätsanbieter mit dem neuen Token erneut aktivieren. Siehe Token für die externe Benutzerbereitstellung aktualisieren.
Sobald Sie die externe Benutzerbereitstellung aktiviert haben, haben Sie weiterhin die Möglichkeit, Benutzer manuell hinzuzufügen und zu entfernen, um vorübergehenden Zugriff zwecks Fehlerbehebung und Beratung im Rahmen des Supports zu gewähren. Dies sollte jedoch, wenn überhaupt, mit Vorsicht erfolgen, da es zu Synchronisierungsproblemen führen kann. Siehe Unterstützung für die hybride Benutzerbereitstellung.
Details Ihres Identitätsanbieters einrichten
Wenn die externe Benutzerbereitstellung in Diligent One aktiviert ist, gilt die Einrichtung als abgeschlossen, sobald die externe Benutzerbereitstellung bei Ihrem Identitätsanbieter konfiguriert ist. Informationen zu den Einrichtungsschritten der externen Benutzerbereitstellung finden Sie in der Dokumentation des jeweiligen Identitätsanbieters, da diese je nach Identitätsanbieter variieren kann. Andere Identitätsanbieter, die SCIM 2.0 unterstützen, sind möglicherweise mit dieser Lösung kompatibel. Im Folgenden sind die Identitätsanbieter aufgeführt, die wir aktiv testen und unterstützen:
- Microsoft Entra (ehemals Azure Active Directory): Konfiguration der externen Benutzerbereitstellung für Microsoft Entra
- Okta:
SCIM-Attributzuordnung
Die folgende Tabelle zeigt, wie die Zuordnung zwischen Diligent One-Attributen und Standard-SCIM-Attributen aussieht.
Kernbenutzerschema
SCIM-Attributname | Diligent One-Attributname | Erforderlich bei der Benutzererstellung |
---|---|---|
userName | Ja | |
name.givenName | Vorname | Ja |
name.familyName | Nachname | Ja |
title | Titel | Nein |
name.initials | Initialen | Nein |
phoneNumbers(type work).value | Telefonnummer | Nein |
phoneNumbers(type extension).value | Nebenstelle | Nein |
name.middleName | Zweiter Vorname | Nein |
addresses[type eq "work"].streetAddress | Büroanschrift, Zeile 1 | Nein |
addresses[type eq "work"].streetAddress2 | Büroanschrift, Zeile 2 | Nein |
addresses[type eq "work"].locality | Büroanschrift, Stadt | Nein |
addresses[type eq "work"].region | Büroanschrift, Bundesstaat | Nein |
addresses[type eq "work"].country | Büroanschrift, Land | Nein |
addresses[type eq "work"].postalCode | Büroanschrift, Postleitzahl | Nein |
addresses[type eq "work"].location | Bürostandort | Nein |
phoneNumbers[type eq "home"].value | Festnetznummer | Nein |
phoneNumbers(type mobile).value | Mobilfunknummer | Nein |
phoneNumbers[type eq "mobile"].value | Sekundäre E-Mail | Nein |
Policy Manager-Erweiterung
Es gibt bis zu 13 optionale Felder, die mittels SCIM ausgefüllt werden können, indem ein Attribut eines Benutzers beim Identitätsanbieter dem folgenden SCIM-Attribut zugeordnet wird:
urn:ietf:params:scim:schemas:extension:Diligent:2.0:User:externalField<insert_field_number>Value
Token für die externe Benutzerbereitstellung aktualisieren
Ein Token muss möglicherweise aktualisiert werden, wenn es verloren geht, vergessen wird oder abläuft. Wenn ein Token aktualisiert werden muss, muss die externe Benutzerbereitstellung sowohl in Diligent One als auch bei Ihrem Identitätsanbieter kurzzeitig deaktiviert und wieder aktiviert werden. Dies muss gleichzeitig erfolgen, um Synchronisierungsprobleme zu vermeiden.
Um Synchronisierungsprobleme zu verhindern, stellen Sie bei der Vorbereitung dieses Prozesses sicher, dass Sie ihn in einer Sitzung abschließen können. Die Durchführung dieser Schritte erfordert möglicherweise eine Koordinierung mit Ihrer IT-Abteilung oder einem Administrator, da Sie in Diligent One ein neues Token generieren, das in Ihrem Identitätsanbieter implementiert werden muss. Es wird nicht empfohlen, diesen Vorgang zu starten und zu einem späteren Zeitpunkt fortzuführen.
-
Optional, aber dringend empfohlen. Deaktivieren Sie bei Ihrem Identitätsanbieter die Benutzerbereitstellung, um ein neues Token zu implementieren. Sobald die externe Benutzerbereitstellung in Diligent One deaktiviert ist, empfängt Diligent One keine Benutzerdaten mehr von Ihrem Identitätsanbieter, der Identitätsanbieter sendet jedoch weiterhin Benutzerdaten wie gewohnt, was zu einem Fehler führt. Um dies zu vermeiden, deaktivieren Sie die externe Benutzerbereitstellung beim Identitätsanbieter. Wie die Deaktivierung vorgenommen wird, hängt von Ihrem spezifischen Identitätsanbieter ab. Siehe Details Ihres Identitätsanbieters einrichten.
- Deaktivieren Sie in Diligent One die Benutzerbereitstellung, um ein neues Token zu implementieren. Öffnen Sie Launchpad.
- Wählen Sie Plattform-Einstellungen > Organisation aus.
-
Wählen Sie Benutzerbereitstellung verwalten aus. Es öffnet sich die Seite Benutzerbereitstellung.
-
Wählen Sie Benutzerbereitstellung deaktivieren aus. Das Dialogfeld Benutzerbereitstellung deaktivieren? wird geöffnet.
-
Wählen Sie Deaktivieren aus. Der vorhandene API-Schlüssel wird sofort ungültig, alle Benutzersynchronisierungen werden gestoppt und die Benutzerverwaltung kann nur noch lokal in Diligent One vorgenommen werden. Sie werden zurück zur Seite Benutzerbereitstellung weitergeleitet, auf der eine Meldung angezeigt wird, die bestätigt, dass die Benutzerbereitstellung erfolgreich deaktiviert wurde.
- Wählen Sie Benutzerbereitstellung aktivieren aus. Hierdurch wird ein API-Schlüssel und eine Basis-URL generiert, die Sie aus dem Dialogfeld Einrichtungsdetails für die Bereitstellung kopieren können.
- Kopieren Sie den API-Schlüssel und die Basis-URL und speichern Sie die Werte an einem sicheren Ort, bevor Sie das Dialogfeld Einrichtungsdetails für die Bereitstellung schließen.
- Nachdem Sie den API-Schlüssel und die Basis-URL gespeichert haben, wählen Sie Schließen aus. Dadurch wird das Dialogfeld Einrichtungsdetails für die Bereitstellung geschlossen und die Seite Benutzerbereitstellung wird neu geladen, die daraufhin bestätigt, dass die SCIM-Benutzerbereitstellung aktiviert ist.
- Aktivieren Sie bei Ihrem Identitätsanbieter die externe Benutzerbereitstellung mit dem neu generierten Token erneut. Die hierfür erforderlichen Schritte hängen von Ihrem Identitätsanbieter ab. Siehe Details Ihres Identitätsanbieters einrichten.
Die folgenden Schritte finden mit Ausnahme des letzten Schritts innerhalb von Diligent One statt.
Wenn Ihr Unternehmen mehr als eine Instanz in Diligent One verwendet, stellen Sie sicher, dass die entsprechende Instanz aktiv ist.
Wenn Organisation nicht als Option zur Verfügung steht, besitzt das Konto, unter dem Sie sich angemeldet haben, keine Administratorberechtigungen.
Achtung
Aus Sicherheitsgründen ist dies Ihre einzige Gelegenheit für den Zugriff auf den API-Schlüssel. Wenn Sie den API-Schlüssel nicht speichern und Sie ihn verlieren oder vergessen, deaktivieren Sie die externe Benutzerbereitstellung sowohl beim Identitätsanbieter als auch in Diligent One kurzzeitig, erstellen Sie ein neues Token und aktivieren Sie die externe Benutzerbereitstellung sowohl in Diligent One als auch beim Identitätsanbieter mit dem neuen Token erneut. Siehe Token für die externe Benutzerbereitstellung aktualisieren.
Dies ist der letzte Schritt in Diligent One, um ein neues Token für die externe Benutzerbereitstellung zu generieren. Die restlichen Schritte zum Zurücksetzen der externen Benutzerbereitstellung werden bei Ihrem Identitätsanbieter mit dem neu generierten Token durchgeführt.
Sofern Sie nicht über Administratorrechte beim Identitätsanbieter verfügen, müssen Sie dies möglicherweise mit Ihrer IT-Abteilung absprechen.
Durch die erneute Aktivierung der Benutzerbereitstellung wird automatisch eine Synchronisierung zur Aktualisierung der Benutzerdaten erzwungen.
Externe Benutzerbereitstellung in Diligent One deaktivieren
Wenn Sie die externe Benutzerbereitstellung nur kurzzeitig deaktivieren müssen, um ein neues Token zu generieren, das verloren gegangen, vergessen oder abgelaufen ist, finden Sie dazu unter Token für die externe Benutzerbereitstellung aktualisieren. Die folgenden Anweisungen schildern die Deaktivierung der externen Benutzerbereitstellung, um Benutzer ausschließlich über Diligent One manuell zu verwalten.
- Deaktivieren Sie die externe Benutzerbereitstellung bei Ihrem Identitätsanbieter. Wie die Deaktivierung vorgenommen wird, hängt von Ihrem spezifischen Identitätsanbieter ab. Siehe Details Ihres Identitätsanbieters einrichten. Hinweis
Sobald die externe Benutzerbereitstellung in Diligent One deaktiviert ist, ruft Diligent One keine Benutzerdaten mehr von Ihrem Identitätsanbieter ab, der Identitätsanbieter sendet jedoch weiterhin Benutzerdaten wie gewohnt, was zu einem Fehler führt. Um dies zu vermeiden, muss die externe Benutzerbereitstellung beim Identitätsanbieter deaktiviert werden. Dies erfordert möglicherweise eine Absprache mit Ihrer IT-Abteilung oder demjenigen, der über die entsprechenden Berechtigungen bei Ihrem Identitätsanbieter verfügt.
- Öffnen Sie Launchpad.
- Wählen Sie Plattform-Einstellungen > Organisation aus.
Wenn Organisation nicht als Option zur Verfügung steht, besitzt das Konto, unter dem Sie sich angemeldet haben, keine Administratorberechtigungen.
- Wählen Sie Benutzerbereitstellung verwalten aus. Es öffnet sich die Seite Benutzerbereitstellung.
- Wählen Sie Benutzerbereitstellung deaktivieren aus. Das Dialogfeld Benutzerbereitstellung deaktivieren? wird geöffnet.
- Wählen Sie Deaktivieren aus. Sie werden zurück zur Seite Benutzerbereitstellung weitergeleitet, auf der eine Meldung angezeigt wird, die bestätigt, dass die Benutzerbereitstellung erfolgreich deaktiviert wurde. Der vorhandene API-Schlüssel wird sofort ungültig, alle Benutzersynchronisierungen werden gestoppt und die Benutzerverwaltung steht nur noch lokal in Diligent One zur Verfügung.
- Wählen Sie Gehen Sie zur Seite „Organisation“ aus. Die Deaktivierung der Benutzerbereitstellung ist abgeschlossen.
Wenn Ihr Unternehmen mehr als eine Instanz in Diligent One verwendet, stellen Sie sicher, dass die entsprechende Instanz aktiv ist.