配置外部用户配置
启用外部用户配置,通过利用跨域身份管理系统 (SCIM) 实现从单个身份提供程序数据源的用户管理自动化。
权限
需要在 Diligent One 中启用外部用户配置,并在身份提供程序中进行设置。要配置组织的外部用户配置,则需要有人拥有 Diligent One 系统管理员权限以及身份提供程序的管理员权限。这些权限可能由一个人或多个人拥有,他/她们需要协调进行外部用户配置设置。一般来说,这只需要设置一次,然后系统便会自行使用该配置运行。
要求
Diligent One 支持通过 SCIM 2.0 进行用户配置,以实现从单个数据源的用户管理自动化。
支持的操作
启用外部用户配置之后,从组织中添加或移除用户以及更新用户个人资料的操作会从身份提供程序自动推送到 Diligent One。
未来,将计划支持以下操作:组分配与组管理(添加和删除)。
启用外部用户配置之后,不会移除直接在 Diligent One 中手动添加和管理用户的功能。通过启用外部用户配置,您可以添加用户管理选项,并且可以在混合解决方案中使用这两种选项。
需要明确的是,在 Diligent One 中专门添加、但并未与身份提供程序同步的用户,只能在 Diligent One 中管理。从身份提供程序同步的用户,则只能在身份提供程序中管理。如果在 Diligent One 中对已同步的用户进行更改,则这些更改将会被下一次同步的信息所覆盖。请参阅支持混合用户配置。
支持混合用户配置
理想情况下,身份提供程序将作为所有用户的单一数据来源运行,以简化用户管理并实现用户管理自动化。但是,在某些情况下,混合解决方案可能仍然是管理系统用户的最佳方式。例如,如果用户仅出于故障诊断或咨询的目的需要临时访问权限,则可能不需要将这些用户添加到身份提供程序。
如果采用混合解决方案,在 Diligent One 中专门添加、但并未与身份提供程序同步的用户,只能在 Diligent One 中管理。从身份提供程序同步的用户,则只能在身份提供程序中管理。
重要信息
以下信息旨在让您了解采用混合解决方案时可能会出现的潜在问题,以便您可以为贵组织做出适当的选择并避免这些问题:
- 目前,在 Diligent One 中,通过身份提供程序管理的用户与在 Diligent One 中手动添加的用户之间不存在视觉差别。
- 在 Diligent One 中手动添加但未与身份提供程序同步的用户,只存在 Diligent One 中且只能在 Diligent One 中管理。
- 如果已经从身份提供程序同步了用户,则请勿在 Diligent One 中管理用户更新。如果在 Diligent One 中编辑那些已经与身份提供程序同步的用户,则编辑内容会被源自身份提供程序的后续自动同步所覆盖。如果同步了用户,身份提供程序将成为用户个人资料默认的单一、受信任的来源。在这种情况下,应该在身份提供程序中进行更改,以便这些更改会推送到 Diligent One。
- 虽然风险较低,但是在从身份提供程序中移除用户之前却从 Diligent One 中移除已同步的用户这种做法,可能会导致外部源中的自动化功能故障。如果确实出现这种情况,则可能需要在外部源中执行手动操作,重新同步 Diligent One 与身份提供程序。如果出现这种情况,请联系支持人员以获得帮助。
限制
每个组织仅限于集成一次外部用户配置。
在 Diligent One 中启用外部用户配置
设置外部用户配置需要以下内容:
-
在 Diligent One 平台中启用外部用户配置。
-
设置身份提供程序。
在 Diligent One 平台中启用外部用户配置
在 Diligent One 中启用外部用户配置,这将会生成一个 API 密钥;将其添加到身份提供程序即可完成设置流程。
-
从启动面板主页 (www.highbond.com)
如果贵公司在启动面板中使用多个实例,请确保相应的实例处于活动状态。
-
在左侧导航栏中,选择平台设置,然后在组织管理下选择组织。
-
在出现的页面上,选择管理用户配置。
此时会出现用户配置页面。
- 在用户配置页面上,选择创建。
- 从显示的正在配置设置详细信息侧面板中,复制生成的 API 密钥和基础 URL。
- 在关闭正在配置设置详细信息侧面板之前,请将值保存在安全的地方。
注意
出于安全原因,这是您唯一可以访问 API 密钥的时候。如果您没有保存 API 密钥、丢失或忘记了 API 密钥,则需要生成新的密钥。有关更多信息,请参阅刷新外部用户配置的令牌。
- 关闭面板。
用户设置页面会显示 API 密钥的详细信息和到期前的天数。
说明启用外部用户配置之后,您仍然可以选择手动添加和移除用户,授予用户短期访问权限让其进行故障诊断和咨询。但是,务必谨慎执行此项操作,因为它可能会导致同步问题。有关更多信息,请参阅支持混合用户配置。
设置身份提供程序详细信息
在 Diligent One 中启用外部用户配置后,您必须在身份提供程序中配置它以完成设置。有关具体的设置说明,请参阅您的身份提供程序文档,因为该过程可能因提供者而异。
虽然支持 SCIM 2.0 的其他身份提供程序可能与此解决方案兼容,但我们仍然积极地测试了以下身份提供程序,并提供支持:
- Microsoft Entra(以前的 Azure Active Directory):配置 Microsoft Entra 的外部用户配置
- Okta:
- SSO 和 SCIM:使用 Okta 配置外部用户配置(SSO 和 SCIM)
- 仅 SCIM:使用 Okta 配置外部用户配置(仅 SCIM)
- Ping One:创建 SCIM 连接
- One 登录:创建 SCIM 应用程序(推荐的架构:SCIM V2.0 - 核心架构)
SCIM 属性映射
以下表格展示了 Diligent One 属性与标准 SCIM 属性之间的映射关系。
核心用户架构
SCIM 属性名称 | Diligent One 属性名称 | 创建用户时必填 |
---|---|---|
userName | 电子邮件 | 是 |
name.givenName | 名字 | 是 |
name.familyName | 最近的名称 | 是 |
title | 标题 | 否 |
name.initials | 首字母 | 否 |
phoneNumbers(type work).value | 电话号码 | 否 |
phoneNumbers(type extension).value | 电话分机 | 否 |
name.middleName | 中间名 | 否 |
addresses[type eq "work"].streetAddress | 办公地址行 1 | 否 |
addresses[type eq "work"].streetAddress2 | 办公地址行 2 | 否 |
addresses[type eq "work"].locality | 办公地址所在城市 | 否 |
addresses[type eq "work"].region | 办公地址所在省/州 | 否 |
addresses[type eq "work"].country | 办公地址所在国家/地区 | 否 |
addresses[type eq "work"].postalCode | 办公地址的邮政编码 | 否 |
addresses[type eq "work"].location | 办公地点 | 否 |
phoneNumbers[type eq "home"].value | 家庭电话号码 | 否 |
phoneNumbers(type mobile).value | 手机号码 | 否 |
phoneNumbers[type eq "mobile"].value | 备用电子邮箱 | 否 |
Policy Manager 扩展
可以通过 SCIM 填充最多 13 个可选字段,操作方法是将身份提供程序中的用户属性映射到以下 SCIM 属性:
urn:ietf:params:scim:schemas:extension:Diligent:2.0:User:externalField<insert_field_number>Value
处理即将到期的令牌
在令牌即将过期时,管理员会提前 30 天、5 天和 1 天收到电子邮件。过期后会发送最后一封电子邮件。在令牌被删除或过期之前,电子邮件将持续发送。令牌过期后,除非被替换,否则所有依赖它的进程都会失败。
刷新外部用户配置的令牌
如果令牌丢失、遗忘、临近过期或已经过期,则需要刷新。为避免出现同步问题,请确保您一次性完成该过程。与您的 IT 部门或管理员协调,因为您在 Diligent One 平台中生成的令牌也必须在身份提供程序中实施。
要刷新令牌,请执行以下步骤:
-
从启动面板主页 (www.highbond.com)
如果贵公司在启动面板中使用多个实例,请确保相应的实例处于活动状态。
-
在左侧导航栏中,选择平台设置,然后在组织管理下选择组织。
-
在出现的页面上,选择管理用户配置。
此时会出现用户配置页面。
- 在用户设置页面的 API 密钥字段旁边,选择生成新的。
- 从显示的正在配置设置详细信息侧面板中,复制生成的 API 密钥。
- 在关闭正在配置设置详细信息侧面板之前,请将值保存在安全的地方。
注意
出于安全原因,这是您唯一可以访问 API 密钥的时候。
- 关闭面板。
用户设置页面会显示 API 密钥的详细信息和到期前的天数。
-
要转到身份提供程序,请执行以下操作:
-
确保您的身份提供程序正在使用新令牌。
-
按照身份提供程序的操作说明来保持同步用户。
-
-
在 Diligent One 平台的用户配置页面上,删除即将到期的令牌。
在 Diligent One 平台中禁用外部用户配置
移除用户配置的效果如下:
-
现有 API 密钥会被立即撤销。
-
用户同步停止。
-
用户管理仅在 Diligent One 平台本地可用。
要禁用外部用户配置,以便通过 Diligent One 以独占方式手动管理用户,您必须先在身份提供程序中禁用外部用户设置。禁用方法取决于特定身份提供程序。有关更多信息,请参阅设置身份提供程序详细信息。
在 Diligent One 中禁用外部用户配置之后,它将不再从身份提供程序拉取用户数据,但是身份提供程序仍然会照常发送用户数据,这将会导致发送失败。为了避免出现这种情况,需要在身份提供程序中禁用外部用户配置。这可能需要您与 IT 部门或拥有身份提供程序适当权限的人员协调合作。
在身份提供程序中禁用外部用户配置后,请执行以下操作:
-
从启动面板主页 (www.highbond.com)
如果贵公司在启动面板中使用多个实例,请确保相应的实例处于活动状态。
-
在左侧导航栏中,选择平台设置,然后在组织管理下选择组织。
-
在出现的页面上,选择管理用户配置。
此时会出现用户配置页面。
-
在用户配置页面上,选择移除。
-
在出现的移除用户配置对话框中,查看移除用户配置的效果,并选择移除。