配置外部用户配置
启用外部用户配置,通过利用跨域身份管理系统 (SCIM) 实现从单个身份提供程序数据源的用户管理自动化。
权限
需要在 Diligent One 中启用外部用户配置,并在身份提供程序中进行设置。要配置组织的外部用户配置,则需要有人拥有 Diligent One 系统管理员权限以及身份提供程序的管理员权限。这些权限可能由一个人或多个人拥有,他/她们需要协调进行外部用户配置设置。一般来说,这只需要设置一次,然后系统便会自行使用该配置运行。
要求
Diligent One 支持通过 SCIM 2.0 进行用户配置,以实现从单个数据源的用户管理自动化。
支持的操作
启用外部用户配置之后,从组织中添加或移除用户以及更新用户个人资料的操作会从身份提供程序自动推送到 Diligent One。
未来,将计划支持以下操作:组分配与组管理(添加和删除)。
启用外部用户配置之后,不会移除直接在 Diligent One 中手动添加和管理用户的功能。通过启用外部用户配置,您可以添加用户管理选项,并且可以在混合解决方案中使用这两种选项。
需要明确的是,在 Diligent One 中专门添加、但并未与身份提供程序同步的用户,只能在 Diligent One 中管理。从身份提供程序同步的用户,则只能在身份提供程序中管理。如果在 Diligent One 中对已同步的用户进行更改,则这些更改将会被下一次同步的信息所覆盖。请参阅支持混合用户配置。
支持混合用户配置
理想情况下,身份提供程序将作为所有用户的单一数据来源运行,以简化用户管理并实现用户管理自动化。但是,在某些情况下,混合解决方案可能仍然是管理系统用户的最佳方式。例如,如果用户仅出于故障诊断或咨询的目的需要临时访问权限,则可能不需要将这些用户添加到身份提供程序。
如果采用混合解决方案,在 Diligent One 中专门添加、但并未与身份提供程序同步的用户,只能在 Diligent One 中管理。从身份提供程序同步的用户,则只能在身份提供程序中管理。
重要信息
以下信息旨在让您了解采用混合解决方案时可能会出现的潜在问题,以便您可以为贵组织做出适当的选择并避免这些问题:
- 目前,在 Diligent One 中,通过身份提供程序管理的用户与在 Diligent One 中手动添加的用户之间不存在视觉差别。
- 在 Diligent One 中手动添加但未与身份提供程序同步的用户,只存在 Diligent One 中且只能在 Diligent One 中管理。
- 如果已经从身份提供程序同步了用户,则请勿在 Diligent One 中管理用户更新。如果在 Diligent One 中编辑那些已经与身份提供程序同步的用户,则编辑内容会被源自身份提供程序的后续自动同步所覆盖。如果同步了用户,身份提供程序将成为用户个人资料默认的单一、受信任的来源。在这种情况下,应该在身份提供程序中进行更改,以便这些更改会推送到 Diligent One。
- 虽然风险较低,但是在从身份提供程序中移除用户之前却从 Diligent One 中移除已同步的用户这种做法,可能会导致外部源中的自动化功能故障。如果确实出现这种情况,则可能需要在外部源中执行手动操作,重新同步 Diligent One 与身份提供程序。如果出现这种情况,请联系支持人员以获得帮助。
限制
每个组织仅限于集成一次外部用户配置。
在 Diligent One 中启用外部用户配置
设置外部用户配置主要包含两个流程:在 Diligent One 中启用外部用户配置,以及设置身份提供程序。
在 Diligent One 中启用外部用户配置
在 Diligent One 中启用外部用户配置,这将会生成一个 API 密钥;将其添加到身份提供程序即可完成设置流程。
- 打开启动面板。
如果贵公司在 Diligent One 中使用多个实例,请确保相应的实例处于活动状态。
- 选择平台设置 > 组织。
如果您没有看到组织选项,则表明您用于登录的账户没有管理员权限。
- 选择管理用户配置。这将会打开用户配置页面。
- 选择启用用户配置。这将会生成一个 API 密钥,并提供可从配置设置详细信息对话框中复制的基础 URL。
- 复制 API 密钥和基础 URL,并将这两个值保存在一个安全的地方,然后关闭配置设置详细信息对话框。
- 妥善保存 API 密钥和基础 URL 之后,选择关闭。这将会退出配置设置详细信息对话框,并且用户配置页面会重新加载,确认已启用 SCIM 外部用户配置。
- 不是在 Diligent One 中,而是在身份提供程序中执行外部用户配置设置的最后一个步骤。请参阅设置身份提供程序详细信息。
注意
作为一项安全措施,这是您访问 API 密钥的唯一机会。如果您没有保存 API 密钥并且丢失或忘记了此密钥,则需要通过以下方法来创建新的密钥:暂时禁用身份提供程序和 Diligent One 中的外部用户配置,生成一个新的令牌,以及使用新令牌在 Diligent One 和身份提供程序中重新启用外部用户配置。请参阅刷新外部用户配置的令牌。
启用外部用户配置之后,您仍然可以选择手动添加和移除用户,授予用户短期访问权限让其进行故障诊断和咨询。但是,务必谨慎执行此项操作(如有),因为它可能会导致同步问题。请参阅支持混合用户配置。
设置身份提供程序详细信息
在 Diligent One 中启用外部用户配置之后,还需要在身份提供程序中配置外部用户配置,至此才完成设置流程。有关设置外部用户配置的步骤,请参阅特定身份提供程序的文档,因为具体操作方法可能因身份提供程序而异。支持 SCIM 2.0 的其他身份提供程序可能也兼容此解决方案;但是,我们积极测试了且能够支持以下身份提供程序:
- Microsoft Entra(以前的 Azure Active Directory):配置 Microsoft Entra 的外部用户配置
- Okta:
- SSO 和 SCIM:使用 Okta 配置外部用户配置(SSO 和 SCIM)
- 仅 SCIM:使用 Okta 配置外部用户配置(仅 SCIM)
SCIM 属性映射
以下表格展示了 Diligent One 属性与标准 SCIM 属性之间的映射关系。
核心用户架构
| SCIM 属性名称 | Diligent One 属性名称 | 创建用户时必填 |
|---|---|---|
| userName | 电子邮件 | 是 |
| name.givenName | 名字 | 是 |
| name.familyName | 最近的名称 | 是 |
| title | 标题 | 否 |
| name.initials | 首字母 | 否 |
| phoneNumbers(type work).value | 电话号码 | 否 |
| phoneNumbers(type extension).value | 电话分机 | 否 |
| name.middleName | 中间名 | 否 |
| addresses[type eq "work"].streetAddress | 办公地址行 1 | 否 |
| addresses[type eq "work"].streetAddress2 | 办公地址行 2 | 否 |
| addresses[type eq "work"].locality | 办公地址所在城市 | 否 |
| addresses[type eq "work"].region | 办公地址所在省/州 | 否 |
| addresses[type eq "work"].country | 办公地址所在国家/地区 | 否 |
| addresses[type eq "work"].postalCode | 办公地址的邮政编码 | 否 |
| addresses[type eq "work"].location | 办公地点 | 否 |
| phoneNumbers[type eq "home"].value | 家庭电话号码 | 否 |
| phoneNumbers(type mobile).value | 手机号码 | 否 |
| phoneNumbers[type eq "mobile"].value | 备用电子邮箱 | 否 |
Policy Manager 扩展
可以通过 SCIM 填充最多 13 个可选字段,操作方法是将身份提供程序中的用户属性映射到以下 SCIM 属性:
urn:ietf:params:scim:schemas:extension:Diligent:2.0:User:externalField<insert_field_number>Value
刷新外部用户配置的令牌
如果令牌丢失、忘记或失效,则需要刷新令牌。如果需要刷新令牌,则需暂时禁用身份提供程序和 Diligent One 中的外部用户配置,然后重新启用。需要同时执行上述操作,以免出现同步问题。
为了避免出现同步问题,在准备启动此流程时,请确保您能够一次性完成操作。可能需要您与 IT 部门或管理员协调合作来完成这些步骤,因为您在 Diligent One 中生成的新令牌,需要在身份提供程序中实施。不建议启动此流程但稍后再回来完成操作。
-
可选,但强烈建议。在身份提供程序中禁用用户配置,以实施新令牌。在 Diligent One 中禁用外部用户配置之后,它将不再从身份提供程序接收用户数据,但是身份提供程序仍然会照常发送用户数据,这将会导致发送失败。为了避免出现这种情况,请在身份提供程序中禁用外部用户配置。禁用方法取决于特定身份提供程序。请参阅设置身份提供程序详细信息。
- 在 Diligent One 中禁用用户配置,以实施新令牌。 打开启动面板。
- 选择平台设置 > 组织。
-
选择管理用户配置。这将会打开用户配置页面。
-
选择禁用用户配置。这将会打开禁用用户配置?对话框。
-
选择禁用。现有的 API 密钥将会立即失效,所有用户同步停止,并且只能在 Diligent One 本地进行用户管理。这将会返回用户配置页面,并向您显示一则消息,确认已成功禁用用户配置。
- 选择启用用户配置。这将会生成一个 API 密钥,并提供可从配置设置详细信息对话框中复制的基础 URL。
- 复制 API 密钥和基础 URL,并将这两个值保存在一个安全的地方,然后关闭配置设置详细信息对话框。
- 妥善保存 API 密钥和基础 URL 之后,选择关闭。这将会退出配置设置详细信息对话框,并且用户配置页面会重新加载,确认已启用 SCIM 用户配置。
- 在身份提供程序中,使用新生成的令牌重新启用外部用户配置。完成这个流程所需的操作步骤,取决于您所使用的身份提供程序。请参阅设置身份提供程序详细信息。
除了最后一步之外,下述所有步骤均在 Diligent One 中执行。
如果贵公司在 Diligent One 中使用多个实例,请确保相应的实例处于活动状态。
如果您没有看到组织选项,则表明您用于登录的账户没有管理员权限。
注意
作为一项安全措施,这是您访问 API 密钥的唯一机会。如果您没有保存 API 密钥并且丢失或忘记了此密钥,则需要暂时禁用身份提供程序和 Diligent One 中的外部用户配置,创建一个新的令牌,以及在 Diligent One 和身份提供程序中重新启用外部用户配置。请参阅刷新外部用户配置的令牌。
在 Diligent One 中生成用于外部用户配置的新令牌所需的操作,到这一个步骤即全部结束。使用新生成的令牌重新设置外部用户配置的剩余步骤,均在身份提供程序中完成。
除非您拥有身份提供程序的管理员权限,否则可能需要与 IT 部门协调合作来完成上述操作。
重新启用用户配置将会自动强制执行同步,以刷新用户数据。
在 Diligent One 中禁用外部用户配置
如果令牌丢失、忘记或失效,您需要暂时禁用外部用户配置来生成一个新的令牌,请参阅刷新外部用户配置的令牌。以下是关于禁用外部用户配置,仅通过 Diligent One 手动管理用户的操作说明。
- 在身份提供程序中禁用外部用户配置。禁用方法取决于特定身份提供程序。请参阅设置身份提供程序详细信息。说明
在 Diligent One 中禁用外部用户配置之后,它将不再从身份提供程序提取用户数据,但是身份提供程序仍然会照常发送用户数据,这将会导致发送失败。为了避免出现这种情况,需要在身份提供程序中禁用外部用户配置。这可能需要您与 IT 部门或拥有身份提供程序适当权限的人员协调合作。
- 打开启动面板。
- 选择平台设置 > 组织。
如果您没有看到组织选项,则表明您用于登录的账户没有管理员权限。
- 选择管理用户配置。这将会打开用户配置页面。
- 选择禁用用户配置。这将会打开禁用用户配置?对话框。
- 选择禁用。这将会返回用户配置页面,并向您显示一则消息,确认已成功禁用用户配置。现有的 API 密钥将会立即失效,所有用户同步停止,并且只能在 Diligent One 本地进行用户管理。
- 选择转到组织页面。至此,禁用用户配置的操作完成。
如果贵公司在 Diligent One 中使用多个实例,请确保相应的实例处于活动状态。
