Este artículo es para:
- Administradores de seguridad de la organización
Información general del SCIM
Sigue los pasos que se indican a continuación para configurar la compatibilidad del SCIM para tu organización. Para configurar el SCIM, necesitas ser un Administrador de seguridad de la organización.
¿Qué es el SCIM?
System for Cross-domain Identity Management (SCIM) es una especificación abierta diseñada para simplificar y automatizar la administración de las identidades de los usuarios. Mediante el SCIM, puedes administrar la creación y suspensión de usuarios de Workiva automáticamente a través de proveedores de identidad compatibles con el SCIM, como Okta, SailPoint IdentityIQ, PingFederate, OneLogin, Azure Active Directory, etc.
Además, el SCIM admite Grupos para permitir la administración de roles de organización, membresías de espacios de trabajo, roles de espacios de trabajo y grupos de espacios de trabajo. Esto te permite administrar todo el ciclo de vida del usuario desde tu proveedor de identidades preferido.
El SCIM utiliza la última versión del estándar, SCIM 2.0, publicada en 2015. Se accede al servicio a través de HTTPS, como lo hace hoy en día tu navegador, y no requiere nuevas reglas de cortafuegos ni modificaciones de la red.
Nota: Workiva solo admite y ayuda a solucionar problemas de configuración de clientes de SCIM comerciales o de libre distribución.
El SCIM y el inicio de sesión único SAML
El SCIM debe utilizarse junto con el inicio de sesión único (SSO) basado en SAML, que proporciona acceso a Workiva a través de tu proveedor de identidades (IdP). Antes de configurar los ajustes del SCIM, asegúrate de haber revisado los Conceptos básicos del inicio de sesión único SAML y Configurar el inicio de sesión único SAML.
Paso 1: Añadir un proveedor de identidades
En primer lugar, debes configurar un proveedor de identidades en tu organización. Para agregar un proveedor de identidades:
- En la administración de la organización, haz clic en Seguridad.
- Haz clic en Aprovisionamiento.
- Haz clic en Agregar identidad o API.
- Selecciona Proveedor de identidades en el menú desplegable.
Paso 2: Introducir la información del proveedor de identidades
Ahora estás listo para crear un nuevo proveedor de identidades:
- Introduce un Nombre completo para tu asociación. Este nombre debe describir el sistema que enviará la información del usuario a Workiva, por ejemplo, «Producción de SailPoint».
- Configura un Nombre de usuario de Workiva en cuyo nombre operará el servicio SCIM. Las acciones del SCIM en el registro de actividades se atribuyen al usuario que selecciones, y también se generan credenciales de API para el usuario. Para ello, te recomendamos crear un usuario exclusivo con los roles de Administrador de seguridad de la organización y Administración de espacios de trabajo de la organización.
- Establece un Tipo de credencial. Consulta la documentación de tu proveedor de identidades para determinar cuál debes utilizar. Si tu proveedor de identidades admite ambos, te recomendamos que utilices el Token de portador.
- Como opción, introduce una Descripción para este proveedor de identidades.
- En Contacto del administrador, introduce el nombre y la dirección de correo electrónico de un contacto técnico de tu departamento de TI con el que podamos hablar en caso de problemas o para comunicarle futuras mejoras de las funciones.
- Haz clic en Crear aprovisionamiento para finalizar.
A continuación, verás los datos de conexión de tu proveedor de identidades que necesitarás para el siguiente paso.
Paso 3: Configurar tu proveedor de identidades
Después de crear un proveedor de identidades, puedes configurar tu software de proveedor de identidades basado en la nube o local para la conexión a Workiva. Los pasos exactos necesarios dependen de tu proveedor de identidades; consulta la documentación y los canales de asistencia de tu proveedor si necesitas ayuda.
- Asegúrate de que estás estableciendo una conexión con SCIM 2.0, ya que no admitimos versiones anteriores del protocolo SCIM.
- Si utilizas el tipo de credencial de autenticación básica, ten en cuenta que las referencias a «nombre de usuario» en el software del proveedor de identidades son sinónimos de «ID», y «contraseña» es sinónimo de «credencial».
Paso 4: Administrar roles y grupos de usuarios
Puedes asignar roles de organización, membresías de espacios de trabajo, roles de espacios de trabajo y grupos de espacios de trabajo a través de grupos de SCIM. Para utilizar los grupos de SCIM para administrar la membresía y los roles, el proveedor de identidades debe enviar/retirar grupos de SCIM por sus nombres de visualización, siguiendo una convención específica que se describe a continuación.
| Derecho | Formato del nombre de visualización | Detalles |
|---|---|---|
| Rol de la organización | rol: |
A las personas asignadas a un grupo con este nombre se les asignará el rol de la organización especificado. Por ejemplo, si se añade un usuario al grupo de SCIM «rol:Administrador de seguridad de la organización», se le otorgará la función de la organización «Administrador de seguridad de la organización». |
| Miembro del espacio de trabajo | espacio de trabajo: |
Las personas asignadas a un grupo con este nombre se añadirán como miembros del espacio de trabajo especificado y se activará una notificación por correo electrónico para darles la bienvenida al espacio de trabajo. Por ejemplo, si se añade un usuario al grupo de SCIM «espacio de trabajo:Auditoría interna de ABC Corp», el usuario tendrá acceso al espacio de trabajo «Auditoría interna de ABC Corp» y al rol predeterminado «Miembro del espacio de trabajo». |
| Rol del espacio de trabajo | espacio de trabajo: |
Las personas asignadas a un grupo con este nombre recibirán el rol del espacio de trabajo especificado en el espacio de trabajo especificado. Ya deben ser miembros del espacio de trabajo. Si aún no son miembros del espacio de trabajo, nuestro sistema esperará hasta 30 segundos antes de fallar mientras esperamos a que tu proveedor de identidades solicite que el usuario se añada al espacio de trabajo. Si se añade antes de que acabe el tiempo, esta acción se reanudará y se completará con éxito. Por ejemplo, si se añade un usuario al grupo SCIM «espacio de trabajo:Auditoría interna de ABC Corp:rol:Administrador», se le otorgará el rol de «Administrador» en el espacio de trabajo «Auditoría interna de ABC Corp». |
| Grupo del espacio de trabajo | espacio de trabajo: |
Las personas asignadas a un grupo con este nombre se añadirán al grupo de espacio de trabajo especificado en el espacio de trabajo especificado. Ya deben ser miembros del espacio de trabajo. Si aún no son miembros del espacio de trabajo, nuestro sistema esperará hasta 30 segundos antes de fallar mientras esperamos a que tu proveedor de identidades solicite que el usuario se añada al espacio de trabajo. Si se añade antes de que acabe el tiempo, esta acción se reanudará y se completará con éxito. Por ejemplo, añadir un usuario al grupo de SCIM «espacio de trabajo:Auditoría interna de ABC Corp:grupo:Editores» añadirá el usuario al grupo de espacio de trabajo «Editores» en el espacio de trabajo «Auditoría interna de ABC Corp». |
Límites y buenas prácticas
A medida que trabajes con usuarios, roles y grupos de SCIM, aquí encontrarás algunas cosas a tener en cuenta:
- Cuando se utilizan grupos de SCIM para añadir un usuario a un rol o grupo de espacio de trabajo, el usuario que se añade ya debe ser miembro del espacio de trabajo (consulta la tabla anterior para más detalles).
- Si aún no son miembros del espacio de trabajo, nuestro sistema esperará hasta 30 segundos antes de fallar mientras esperamos a que tu proveedor de identidades solicite que el usuario se añada al espacio de trabajo. Si se añade antes de que acabe el tiempo, esta acción se reanudará y se completará con éxito.
- Al realizar asignaciones en masa de usuarios (más de 20) a roles o grupos del espacio de trabajo, la práctica recomendada es asegurarse de que los usuarios reciban primero una membresía a un espacio de trabajo y, a continuación, se les asignen roles o grupos del espacio de trabajo en llamadas posteriores de tu proveedor de identidades. Este orden de operaciones garantiza que los usuarios se han añadido correctamente a un espacio de trabajo antes de que se intenten cambios adicionales, como la adición de roles al espacio de trabajo.
¿Necesitas ayuda?
Si tienes algún problema o necesitas ayuda para configurar un proveedor de identidades, puedes ponerte en contacto con el soporte técnico para obtener ayuda.