Questo articolo è per:
- Amministratori della sicurezza dell'organizzazione
Panoramica di SCIM
Seguire la procedura seguente per configurare il supporto SCIM per la propria organizzazione. Per configurare SCIM, è necessario essere un amministratore della sicurezza dell'organizzazione.
Che cos'è lo SCIM?
System for Cross-domain Identity Management (SCIM) è una specifica aperta progettata per rendere semplice e automatica la gestione delle identità degli utenti. Utilizzando SCIM, è possibile gestire automaticamente la creazione e la sospensione degli utenti di Workiva attraverso i provider di identità abilitati a SCIM, come Okta, SailPoint IdentityIQ, PingFederate, OneLogin, Azure Active Directory e altri ancora.
Inoltre, SCIM supporta i gruppi per consentire la gestione dei ruoli dell'organizzazione, delle appartenenze agli spazi di lavoro, dei ruoli degli spazi di lavoro e dei gruppi di spazi di lavoro. Questo vi permette di gestire l'intero ciclo di vita dell'utente dal vostro identity provider preferito.
SCIM utilizza l'ultima versione dello standard, SCIM 2.0, pubblicata nel 2015. Il servizio è raggiungibile tramite HTTPS, proprio come il vostro browser, e non richiede nuove regole di firewall o modifiche alla rete.
Nota: Workiva supporta e aiuta a risolvere i problemi di configurazione solo per i client SCIM disponibili in commercio o liberamente.
SCIM e SAML single sign-on
SCIM deve essere utilizzato insieme al single sign-on (SSO) basato su SAML, che fornisce l'accesso a Workiva attraverso il vostro identity provider (IdP). Prima di configurare le impostazioni SCIM, assicurarsi di aver letto Fondamenti di SAML single sign-on e Configurazione di SAML single sign-on.
Passo 1: aggiungere un fornitore di identità
Innanzitutto, è necessario configurare un provider di identità nella propria organizzazione. Per aggiungere un provider di identità:
- In Amministrazione organizzazione, fare clic su Security.
- Fare clic su Provisioning.
- Fare clic su Add Identity o Api.
- Selezionare Identity Provider nel menu a tendina.
Fase 2: Inserire le informazioni sul fornitore di identità
Ora si è pronti a creare un nuovo fornitore di identità:
- Impostate un Nome completo per la vostra associazione. Questo nome deve descrivere il sistema che invierà le informazioni sugli utenti a Workiva, ad esempio "SailPoint Production".
- Impostare un nome utente Workiva per il quale il servizio SCIM opererà. Le azioni SCIM nel Registro attività vengono attribuite all'utente selezionato e vengono generate anche le credenziali API per l'utente. A tal fine, si consiglia di creare un utente dedicato con i ruoli Org Security Admin e Org Workspace Admin. Solo questo utente potrà visualizzare il segreto di questo fornitore di identità in Il mio profilo > Sicurezza.
Nota: per motivi di sicurezza, se in seguito si cambia il nome utente Workiva, il segreto attuale non sarà più valido e solo il nuovo utente avrà accesso al nuovo segreto.
- Impostare un tipo di credenziale . Consultare la documentazione del fornitore di identità per determinare quale utilizzare. Se il vostro fornitore di identità supporta entrambi, vi consigliamo di utilizzare il Bearer Token.
- Facoltativamente, inserire una descrizione per questo fornitore di identità.
- Alla voce Administrator Contact, inserite il nome e l'indirizzo e-mail di un contatto tecnico del vostro reparto IT che possiamo contattare in caso di problemi o per comunicare futuri miglioramenti delle funzionalità.
- Fare clic su Create Provisioning per terminare.
Passo 3: Configurare il provider di identità
Dopo aver creato un identity provider, è possibile configurare il software di identity provider basato su cloud o on-premise per connettersi a Workiva. I passi esatti necessari dipendono dal fornitore di identità; consultare la documentazione e i canali di supporto del fornitore se si necessita di assistenza.
- Assicurarsi di aver impostato una connessione con SCIM 2.0, poiché non supportiamo le versioni precedenti del protocollo SCIM.
- Se si utilizza il tipo di credenziale Basic Auth, si tenga presente che i riferimenti a "nome utente" nel software dell'Identity Provider sono sinonimi di "ID" e "password" è sinonimo di "credenziale".
Solo l'utente elencato nei dettagli del fornitore di identità può visualizzare il segreto del proprio fornitore di identità accedendo a My Profile, selezionando la scheda Security , quindi facendo clic su Regenerate nel menu a tendina Actions accanto al fornitore di identità. L'utente può visualizzare il segreto solo una volta, quindi dovrà copiare il segreto in un luogo sicuro. Se perdono il segreto, dovranno rigenerarlo di nuovo.
Passo 4: Gestione dei ruoli e dei gruppi di utenti
È possibile assegnare ruoli di organizzazione, appartenenze a workspace, ruoli di workspace e gruppi di workspace tramite i gruppi SCIM. Per utilizzare i gruppi SCIM per la gestione dei membri e dei ruoli, l'identity provider deve spingere/tirare i gruppi SCIM in base ai loro nomi di visualizzazione, seguendo una convenzione specifica descritta di seguito.
Diritto | Formato del nome visualizzato | Dettagli |
---|---|---|
Ruolo dell'organizzazione | ruolo:
|
Alle persone assegnate a un gruppo con questo nome viene assegnato il ruolo organizzativo specificato. Ad esempio, l'aggiunta di un utente al gruppo SCIM "role:Org Security Admin" conferirà all'utente il ruolo organizzativo "Org Security Admin". |
Utente del workspace | spazio di lavoro:
|
Le persone assegnate a un gruppo con questo nome saranno aggiunte come membri dell'area di lavoro specificata e verrà attivata una notifica via e-mail di benvenuto nell'area di lavoro. Ad esempio, l'aggiunta di un utente al gruppo SCIM 'workspace:ABC Corp Internal Audit' garantirà all'utente l'accesso all'area di lavoro 'ABC Corp Internal Audit' e il ruolo predefinito 'Workspace Member'. |
Ruolo dello spazio di lavoro | spazio di lavoro: |
Le persone assegnate a un gruppo con questo nome riceveranno il ruolo dell'area di lavoro specificata nell'area di lavoro specificata. Devono essere già membri dell'area di lavoro. Se l'utente non è già un membro dell'area di lavoro, il sistema resterà in attesa fino a 30 secondi prima di fallire, in attesa che il fornitore di identità richieda l'aggiunta dell'utente all'area di lavoro. Se vengono aggiunti prima dello scadere del tempo, l'azione verrà ripresa e completata con successo. Ad esempio, l'aggiunta di un utente al gruppo SCIM 'workspace:ABC Corp Internal Audit:role:Manager' conferirà all'utente il ruolo di 'Manager' nell'area di lavoro 'ABC Corp Internal Audit'. |
Gruppo Workspace | spazio di lavoro: |
Le persone assegnate a un gruppo con questo nome saranno aggiunte al gruppo di lavoro specificato nell'area di lavoro specificata. Devono essere già membri dell'area di lavoro. Se l'utente non è già un membro dell'area di lavoro, il sistema resterà in attesa fino a 30 secondi prima di fallire, in attesa che il fornitore di identità richieda l'aggiunta dell'utente all'area di lavoro. Se vengono aggiunti prima dello scadere del tempo, l'azione verrà ripresa e completata con successo. Ad esempio, l'aggiunta di un utente al gruppo SCIM 'workspace:ABC Corp Internal Audit:group:Editors' aggiungerà l'utente al gruppo workspace 'Editors' nell'area di lavoro 'ABC Corp Internal Audit'. |
Limiti e buone pratiche
Quando si lavora con gli utenti, i ruoli e i gruppi SCIM, è bene tenere a mente alcune cose:
- Quando si usano i gruppi SCIM per aggiungere un utente a un ruolo o a un gruppo di workspace, l'utente da aggiungere deve essere già un membro del workspace (per maggiori dettagli, vedere la tabella precedente).
- Se l'utente non è già un membro dell'area di lavoro, il sistema resterà in attesa fino a 30 secondi prima di fallire, in attesa che il fornitore di identità richieda l'aggiunta dell'utente all'area di lavoro. Se vengono aggiunti prima dello scadere del tempo, l'azione verrà ripresa e completata con successo.
- Quando si eseguono assegnazioni in blocco di utenti (oltre 20) a ruoli o gruppi di workspace, la prassi migliore è assicurarsi che agli utenti venga prima assegnata l'appartenenza a un workspace e poi i ruoli o i gruppi di workspace nelle chiamate successive del provider di identità. Questo ordine di operazioni garantisce che gli utenti siano stati aggiunti correttamente a un'area di lavoro prima di tentare ulteriori modifiche, come l'aggiunta di ruoli all'area di lavoro.
Avete bisogno di aiuto?
In caso di problemi o di necessità di assistenza per l'impostazione di un provider di identità, è possibile contattare il supporto per ottenere assistenza.