配置外部用户配置

启用外部用户配置，通过利用跨域身份管理系统 (SCIM) 实现从单个身份提供程序数据源的用户管理自动化。

权限

需要在 Diligent One 中启用外部用户配置，并在身份提供程序中进行设置。要配置组织的外部用户配置，则需要有人拥有 Diligent One 系统管理员权限以及身份提供程序的管理员权限。这些权限可能由一个人或多个人拥有，他/她们需要协调进行外部用户配置设置。一般来说，这只需要设置一次，然后系统便会自行使用该配置运行。

要求

Diligent One 支持通过 SCIM 2.0 进行用户配置，以实现从单个数据源的用户管理自动化。

支持的操作

启用外部用户配置之后，从组织中添加或移除用户以及更新用户个人资料的操作会从身份提供程序自动推送到 Diligent One。

启用外部用户配置之后，不会移除直接在 Diligent One 中手动添加和管理用户的功能。通过启用外部用户配置，您可以添加用户管理选项，并且可以在混合解决方案中使用这两种选项。

支持混合用户配置

理想情况下，身份提供程序将作为所有用户的单一数据来源运行，以简化用户管理并实现用户管理自动化。但是，在某些情况下，混合解决方案可能仍然是管理系统用户的最佳方式。例如，如果用户仅出于故障诊断或咨询的目的需要临时访问权限，则可能不需要将这些用户添加到身份提供程序。

如果采用混合解决方案，在 Diligent One 中专门添加、但并未与身份提供程序同步的用户，只能在 Diligent One 中管理。从身份提供程序同步的用户，则只能在身份提供程序中管理。

限制

每个组织仅限于集成一次外部用户配置。

在 Diligent One 中启用外部用户配置

设置外部用户配置需要以下内容：

• 在 Diligent One 平台中启用外部用户配置。

• 设置身份提供程序。

在 Diligent One 平台中启用外部用户配置

在 Diligent One 中启用外部用户配置，这将会生成一个 API 密钥；将其添加到身份提供程序即可完成设置流程。

1. 从启动面板主页 (www.highbond.com)

   如果贵公司在启动面板中使用多个实例，请确保相应的实例处于活动状态。

2. 在左侧导航栏中，选择平台设置，然后在组织管理下选择组织。

3. 在出现的页面上，选择管理用户配置。

   此时会出现用户配置页面。

4. 在用户配置页面上，选择创建。
5. 从显示的正在配置设置详细信息侧面板中，复制生成的 API 密钥和基础 URL。
6. 在关闭正在配置设置详细信息侧面板之前，请将值保存在安全的地方。

   注意

   出于安全原因，这是您唯一可以访问 API 密钥的时候。如果您没有保存 API 密钥、丢失或忘记了 API 密钥，则需要生成新的密钥。有关更多信息，请参阅刷新外部用户配置的令牌。

7. 关闭面板。

   用户设置页面会显示 API 密钥的详细信息和到期前的天数。

   说明

   启用外部用户配置之后，您仍然可以选择手动添加和移除用户，授予用户短期访问权限让其进行故障诊断和咨询。但是，务必谨慎执行此项操作，因为它可能会导致同步问题。有关更多信息，请参阅支持混合用户配置。

设置身份提供程序详细信息

在 Diligent One 中启用外部用户配置后，您必须在身份提供程序中配置它以完成设置。有关具体的设置说明，请参阅您的身份提供程序文档，因为该过程可能因提供者而异。

虽然支持 SCIM 2.0 的其他身份提供程序可能与此解决方案兼容，但我们仍然积极地测试了以下身份提供程序，并提供支持：

• Microsoft Entra（以前的 Azure Active Directory）：配置 Microsoft Entra 的外部用户配置
• Okta：
  • SSO 和 SCIM：使用 Okta 配置外部用户配置（SSO 和 SCIM）
  • 仅 SCIM：使用 Okta 配置外部用户配置（仅 SCIM）
• Ping One：创建 SCIM 连接
• One 登录：创建 SCIM 应用程序（推荐的架构：SCIM V2.0 - 核心架构）

SCIM 属性映射

以下表格展示了 Diligent One 属性与标准 SCIM 属性之间的映射关系。

核心用户架构

SCIM 属性名称	Diligent One 属性名称	创建用户时必填
userName	电子邮件	是
name.givenName	名字	是
name.familyName	最近的名称	是
title	标题	否
name.initials	首字母	否
phoneNumbers(type work).value	电话号码	否
phoneNumbers(type extension).value	电话分机	否
name.middleName	中间名	否
addresses[type eq "work"].streetAddress	办公地址行 1	否
addresses[type eq "work"].streetAddress2	办公地址行 2	否
addresses[type eq "work"].locality	办公地址所在城市	否
addresses[type eq "work"].region	办公地址所在省/州	否
addresses[type eq "work"].country	办公地址所在国家/地区	否
addresses[type eq "work"].postalCode	办公地址的邮政编码	否
addresses[type eq "work"].location	办公地点	否
phoneNumbers[type eq "home"].value	家庭电话号码	否
phoneNumbers(type mobile).value	手机号码	否
phoneNumbers[type eq "mobile"].value	备用电子邮箱	否

Policy Manager 扩展

可以通过 SCIM 填充最多 13 个可选字段，操作方法是将身份提供程序中的用户属性映射到以下 SCIM 属性：

urn:ietf:params:scim:schemas:extension:Diligent:2.0:User:externalField<insert_field_number>Value

处理即将到期的令牌

在令牌即将过期时，管理员会提前 30 天、5 天和 1 天收到电子邮件。过期后会发送最后一封电子邮件。在令牌被删除或过期之前，电子邮件将持续发送。令牌过期后，除非被替换，否则所有依赖它的进程都会失败。

刷新外部用户配置的令牌

如果令牌丢失、遗忘、临近过期或已经过期，则需要刷新。为避免出现同步问题，请确保您一次性完成该过程。与您的 IT 部门或管理员协调，因为您在 Diligent One 平台中生成的令牌也必须在身份提供程序中实施。

要刷新令牌，请执行以下步骤：

1. 从启动面板主页 (www.highbond.com)

   如果贵公司在启动面板中使用多个实例，请确保相应的实例处于活动状态。

2. 在左侧导航栏中，选择平台设置，然后在组织管理下选择组织。

3. 在出现的页面上，选择管理用户配置。

   此时会出现用户配置页面。

4. 在用户设置页面的 API 密钥字段旁边，选择生成新的。
5. 从显示的正在配置设置详细信息侧面板中，复制生成的 API 密钥。
6. 在关闭正在配置设置详细信息侧面板之前，请将值保存在安全的地方。

   注意

   出于安全原因，这是您唯一可以访问 API 密钥的时候。

7. 关闭面板。

   用户设置页面会显示 API 密钥的详细信息和到期前的天数。

8. 要转到身份提供程序，请执行以下操作：

   1. 确保您的身份提供程序正在使用新令牌。

   2. 按照身份提供程序的操作说明来保持同步用户。

9. 在 Diligent One 平台的用户配置页面上，删除即将到期的令牌。

在 Diligent One 平台中禁用外部用户配置

移除用户配置的效果如下：

• 现有 API 密钥会被立即撤销。

• 用户同步停止。

• 用户管理仅在 Diligent One 平台本地可用。

要禁用外部用户配置，以便通过 Diligent One 以独占方式手动管理用户，您必须先在身份提供程序中禁用外部用户设置。禁用方法取决于特定身份提供程序。有关更多信息，请参阅设置身份提供程序详细信息。

在身份提供程序中禁用外部用户配置后，请执行以下操作：

1. 从启动面板主页 (www.highbond.com)

   如果贵公司在启动面板中使用多个实例，请确保相应的实例处于活动状态。

2. 在左侧导航栏中，选择平台设置，然后在组织管理下选择组织。

3. 在出现的页面上，选择管理用户配置。

   此时会出现用户配置页面。

4. 在用户配置页面上，选择移除。

5. 在出现的移除用户配置对话框中，查看移除用户配置的效果，并选择移除。