SCIM 用于 SAML 用户和组的供应/取消供应

概述

Faspex 5 现在支持 SCIM v2.0 API,可自动进行 SAML 用户和组的供应和取消供应。 SCIM(跨域身份管理系统)允许身份提供商(IDP)与 Faspex 同步用户身份验证状态。 目前,基于 SCIM 的 SAML 用户和组供应/取消供应仅适用于 Okta。

SCIM 如何在 Faspex 中运行

SCIM 使 Faspex 能够接收来自 Okta 的配置和取消配置更新,确保用户身份验证状态同步。

Okta 配置步骤

  1. 从 Okta UI 进入应用程序 > 激活 ,然后为 Faspex 选择现有的 SAML 配置。
  2. 在 "应用程序设置 "菜单上,单击 " 编辑 "并打开 " 启用 SCIM 配置 " 选项。 单击保存
  3. 在 Okta 应用程序设置中单击 " 调配 " 和 "启用 SCIM 调配"。
  4. 将 SCIM 版本设为 v2.0.
  5. 配置基础 URL :
    {your_faspex_domain}/aspera/faspex/api/v5/scim/v2/{your_saml_configuration_id}
  6. 设置唯一标识符。 它必须是 userName (大写 "N",符合 SCIM v2.0 标准)。
  7. 启用 " 支持的调配操作 "下的以下选项:
    • 推送新用户 :在 Okta 中添加用户时,在 Faspex 中创建用户。
    • 推送配置文件更新 :在 Okta 中修改时更新 Faspex 中的用户属性。
    • 推送群组 :在 Okta 中添加时在 Faspex 中创建组。
  8. 设置身份验证:
    • 使用 OAuth 2.0Bearer 令牌
    • 单击 " 测试连接器配置 "验证设置。 (创建用户更新用户属性应打上绿色对号)
  9. 确保在 "供应"> " 设置"> " 至 Okta "下禁用了导入。 您应该看到Import Not Available屏幕上的信息。 应该由 Okta 来管理调配。
  10. “预配” > “设置” > “到应用” 下启用到应用的预配,并启用以下选项:
    1. 创建用户
    2. 停用用户

属性映射

从 Okta 向 Faspex 创建或更新用户时,Okta 必须将某些属性映射到 Faspex,以便正确同步。

添加 saml_configuration_id 属性

在映射这些属性之前,您需要添加 saml_configuration_id 属性。 Faspex 需要它来识别 SAML 配置 ID 并将其与正在创建的用户相关联。

  1. 从 Okta 用户界面,进入目录 > 配置文件编辑器 > 选择您的 Faspex 应用程序添加属性
  2. 填写以下字段:
    • 显示名称saml_configuration_id
    • 外部名称saml_configuration_id
    • 外部命名空间urn:ietf:params:scim:schemas:core:2.0:User
    • 变量名称saml_configuration_id
    • 属性类型 :个人
  3. 单击保存属性
映射属性
  1. 导航至调配 > 至应用程序
  2. 映射以下属性
Okta 属性 Type
userName 个人 在登录设置中配置
givenName 个人 用户名
familyName 个人 用户的姓氏
email 个人 用户的电子邮件
emailtype 个人

只有当电子邮件类型具有有效值时,才会将其设置为 'work'。 如果电子邮件类型缺失或为空,则默认为空白。

(email_type != null && email_type != "") ? 'work' : ""
saml_configuration_id 个人

3 (该值必须对所有用户相同。)

要获取该值,请访问常规 > SAML 设置 > Single Sign On URL 并选择 /saml//callback 之间列出的值。 例如,在这种情况下,数值就是 3: https://staging.qa.asperatest.net/aspera/faspex/api/v5/saml/3/callback

通过 Okta 开始同步用户供应/取消供应

请按照以下步骤通过 Okta 的用户界面开始同步用户供应/取消供应。
重要: 即使在本节中添加了整个用户组,组本身及其成员资格的供应和取消供应也是在 " 推送组 "选项卡上单独管理的。
  1. 从 Okta 的左侧菜单转到应用程序 > 应用程序 > 分配
  2. 单击 " 分配 ",选择 " 分配给人 "还是 " 分配给组 "。
  3. 选择所需的用户或组,然后单击 " 分配 "。
  4. 将显示一个新窗口,您无需进行任何更改,只需向下滚动并单击 “保存并返回” ,然后单击“完成”
  5. 要验证用户或用户组是否添加成功,请从 Faspex 用户界面进入 " 管理工具 ">" 用户 ">" 所有用户 ",确认已将其列出并分配给正确的 SAML 配置。
注意: 删除 Okta 中的指定用户将使该用户在 Faspex 中成为非活动用户。

通过 Okta 启动组的同步配置/取消配置

请按照以下步骤通过 Okta 的用户界面启动组供应或取消供应同步。

  1. 从 Okta UI 进入 " 推送组 "选项卡。
  2. 单击 " 推送组" ,然后选择 " 按名称查找组 "。
  3. 在 Faspex 中输入要配置或取消配置的组名称。
  4. 启用立即推送群组成员选项。
  5. 要验证组是否添加成功,请从 Faspex UI 进入管理 > 验证 > SAML 组 ,确认添加的组已列出并分配给正确的 SAML 配置。
  6. 还可以单击所选 SAML 组内的 " 用户 "选项卡,查看与该组相关的用户成员资格。