Centrum wsparcia Workiva

Przegląd SCIM

Ważne: Aby skonfigurować obsługę SCIM dla swojej organizacji, musisz być administratorem zabezpieczeń organizacji.

Czym jest SCIM?

System zarządzania tożsamościami międzydomenowymi (SCIM) to otwarta specyfikacja, która ma na celu uproszczenie i zautomatyzowanie zarządzania tożsamościami użytkowników. Korzystając ze SCIM, możesz automatycznie zarządzać tworzeniem i zawieszaniem użytkowników Workiva za pośrednictwem dostawców tożsamości obsługujących SCIM, takich jak Okta, SailPoint IdentityIQ, PingFederate, OneLogin, Azure Active Directory i innych.

Ponadto SCIM obsługuje grupy, umożliwiając zarządzanie rolami w organizacji, członkostwem w obszarach roboczych, rolami obszarów roboczych i grupami obszarów roboczych. Dzięki temu możesz zarządzać całym cyklem życia użytkownika za pośrednictwem preferowanego dostawcy tożsamości.

SCIM wykorzystuje najnowszą wersję standardu SCIM 2.0opublikowaną w 2015 r. Dostęp do usługi odbywa się za pomocą protokołu HTTPS, tak jak ma to miejsce obecnie w przypadku przeglądarek, i nie wymaga stosowania nowych reguł zapory sieciowej ani modyfikowania sieci.

Uwaga: Workiva obsługuje i pomaga w rozwiązywaniu problemów konfiguracyjnych wyłącznie w przypadku klientów SCIM dostępnych komercyjnie lub bezpłatnie.

Obsługiwane funkcje SCIM

Obsługiwane są następujące funkcje provisioningu:

• Utwórz nowych użytkowników
  Nowi użytkownicy przypisani do dostawcy tożsamości zostaną również utworzeni na platformie Workiva
• Dezaktywuj nieprzypisanych użytkowników
  Anulowanie przypisania użytkowników u dostawcy tożsamości spowoduje zawieszenie użytkownika na platformie Workiva
• Dezaktywacja użytkowników
  Dezaktywacja użytkowników u dostawcy tożsamości spowoduje zawieszenie użytkownika na platformie Workiva
• Aktualizacje profilu
  Aktualizacje wprowadzone do profilu użytkownika za pośrednictwem dostawcy tożsamości zostaną zaktualizowane na platformie Workiva
• Importuj nowych użytkowników
  Nowych użytkowników utworzonych na platformie Workiva można zaimportować do dostawcy tożsamości i zmapować na istniejących lub nowych użytkowników
• Ponowna aktywacja użytkowników
  Ponowna aktywacja użytkownika lub ponowne przypisanie użytkownika w dostawcy tożsamości spowoduje aktywację tego użytkownika na platformie Workiva
• Grupowe wypychanie
  Uprawnieniami użytkownika w usłudze Workiva, w tym rolami organizacyjnymi, członkostwami w obszarze roboczym, rolami obszaru roboczego i członkostwami w grupach obszaru roboczego, można zarządzać za pomocą istniejących grup dostawców tożsamości.

Logowanie jednokrotne SCIM i SAML

SCIM należy stosować w połączeniu z jednokrotnym logowaniem (SSO) opartym na protokole SAML, które umożliwia dostęp do systemu Workiva za pośrednictwem dostawcy tożsamości (IdP). Przed skonfigurowaniem ustawień SCIM należy zapoznać się z dokumentami Podstawy jednokrotnego logowania SAML i Konfigurowanie jednokrotnego logowania SAML.

Ważne: Prosimy o potwierdzenie, że wszystkie nazwy użytkowników Workiva mają spójną konwencję nazewnictwa i są zgodne ze sposobem tworzenia użytkowników przez narzędzie SCIM.

Krok 1: Utwórz provisioning

Aby utworzyć konfigurację tożsamości i wygenerować dane uwierzytelniające interfejsu API SCIM:

1. W prawym górnym rogu kliknij ikonę użytkownika i z listy rozwijanej wybierz Administrator.
2. Następnie wybierzAdministracja organizacjiz listy rozwijanej.
   
3. Na stronie Administracja organizacją wybierz Bezpieczeństwow lewym okienku menu, a następnie wybierz kartę Zaopatrzenie. 
   
4. Kliknij Dodaj tożsamość lub API.
   

5. WybierzDostawca tożsamości z listy rozwijanej.
   

   Poniższe instrukcje dotyczą Dostawcy Tożsamości. Aby uzyskać przyznanie API, zapoznaj się z sekcją Tworzenie i zarządzanie przyznaniami API w Administracji organizacją.

6. Wypełnij wymagane pola:
   • Ustaw Imię i nazwisko dla swojego stowarzyszenia. Nazwa ta powinna opisywać system, który będzie wysyłał informacje o użytkownikach do Workiva, np. „Okta Production”.

   • Ustaw nazwę użytkownika Workiva. Działania SCIM w dzienniku aktywności są przypisywane temu użytkownikowi i generowane są dla niego dane uwierzytelniające API.

     Zalecamy utworzenie dedykowanego użytkownika interfejsu API SCIM z następującymi rolami:

     • Administrator użytkowników organizacji (wymagany do tworzenia, dezaktywowania i aktualizowania użytkowników)
     • Administrator bezpieczeństwa organizacji (wymagane, jeśli SCIM zarządza rolami administratora bezpieczeństwa)
     • Administrator obszaru roboczego organizacji (wymagany, jeśli SCIM zarządza członkostwem, rolami i grupami obszaru roboczego)
     • Użytkownik sztucznej inteligencji Workiva (wymagany, jeśli SCIM zarządza rolami sztucznej inteligencji)
     • Administrator zabezpieczeń łańcucha organizacyjnego (wymagany, jeśli SCIM zarządza rolami łańcuchów)

     SCIM może przypisywać i zarządzać tylko tymi rolami, które dany użytkownik już posiada.

     Aby generować tokeny API, konto musi zawierać prawidłowy adres e-mail. Jeżeli później zmienisz nazwę użytkownika Workiva, obecny tajny klucz stanie się nieważny i tylko nowy użytkownik będzie mógł uzyskać do niego dostęp.

     Tylko ten użytkownik może zobaczyć tajny klucz dostawcy tożsamości w Mój profil > Bezpieczeństwo.

     Uwaga: Jeśli użytkownik interfejsu API SCIM nie ma roli, SCIM nie może przypisać tej roli innym użytkownikom ani nią zarządzać. Na przykład, aby zapewnić role użytkownika Workiva AI lub administratora Org Chain Security za pośrednictwem SCIM, należy najpierw przypisać te role użytkownikowi interfejsu API SCIM.

     Dowiedz się, jak zaktualizować rolę w organizacji i zobacz, jakie role należy przypisać.

   • Ustaw Typ poświadczeń. Aby dowiedzieć się, którego dostawcy tożsamości użyć, zapoznaj się z jego dokumentacją.
     • Aplikacja Workiva w OIN obsługuje tylko Uwierzytelnianie podstawowe.
     • Niestandardowa aplikacja stworzona w Okta może obsługiwać Bearer Token.
     • Jeśli używasz platformy Azure, wybierz opcję Token nośnika.
   • Opcjonalnie wprowadź Opis dla tego dostawcy tożsamości.
   • W polu Kontakt administratorawprowadź Imię i nazwisko oraz Adres e-mail osoby kontaktowej ds. technicznych w dziale IT, z którą możemy się skontaktować w przypadku problemów lub w celu przekazania informacji o przyszłych ulepszeniach funkcji.
7. Kliknij Utwórz zaopatrzenie, aby zakończyć.

Krok 2: Uzyskaj wartości ID i URL

Będziesz potrzebować identyfikatora i wartości adresu URL dla Krok 4: Skonfiguruj swojego dostawcę tożsamości. Aby uzyskać te wartości:

1. W Administracji organizacji przejdź do Bezpieczeństwo > Zaopatrzenie.
2. W sekcji Dostawca tożsamości znajdź swoje uprawnienia i skopiuj wartości ID i URL.

Krok 3: Uzyskaj podstawowe tokeny uwierzytelniające lub tokeny okaziciela

Aby uzyskać nowe tokeny uwierzytelniania podstawowego lub tokeny nośnika, należy zalogować się do aplikacji Workiva przy użyciu nazwy użytkownika SCIM Workiva Username, którą określono w Krok 1: Utwórz provisioning:

1. Sprawdź, czy konto użytkownika SCIM ma prawidłowy adres e-mail, do którego można uzyskać dostęp, oraz czy użytkownik SCIM został dodany do obszaru roboczego. Dzieje się tak, ponieważ na adres e-mail użytkownika SCIM zostanie wysłany e-mail weryfikacyjny umożliwiający zalogowanie się.

   Uwaga: Jeśli wymagane jest [] logowanie jednokrotne SAML, musisz dodać tego użytkownika SCIM jako użytkownika pomijającego logowanie jednokrotne SAML, aby móc zalogować się przy użyciu nazwy użytkownika i hasła.

   

2. Przejdź do ekranu logowania Workiva i zaloguj się, używając nazwy użytkownika i hasła użytkownika SCIM Workiva (jeśli wcześniej logowałeś się za pomocą SAML SSO, najpierw musisz kliknąć Zmień użytkownika).
3. Na platformie Workiva kliknij ikonę profilu w prawym górnym rogu i przejdź do Mój profil > Bezpieczeństwo.
4. W sekcji Dostawca tożsamości kliknij strzałkę rozwijaną Akcje obok ustawień tożsamości i kliknij Wygeneruj ponownie.
5. Potwierdź klikając Regeneruj.
6. Zobaczysz Podstawowy sekret uwierzytelniania i Sekret tokenu okaziciela. Zapisz te sekrety w bezpiecznym miejscu, gdyż nie będziesz miał do nich dostępu.

Krok 4: Skonfiguruj swojego dostawcę tożsamości

Po utworzeniu dostawcy tożsamości możesz skonfigurować oprogramowanie dostawcy tożsamości w chmurze lub lokalnie, aby łączyło się z firmą Workiva.

• Upewnij się, że nawiązujesz połączenie przy użyciu protokołu SCIM 2.0, ponieważ nie obsługujemy poprzednich wersji protokołu SCIM.
• Jeśli korzystasz z typu danych uwierzytelniania podstawowego, pamiętaj, że odniesienia do „nazwy użytkownika” w oprogramowaniu dostawcy tożsamości są synonimem „identyfikatora”, a „hasło” jest synonimem „danych uwierzytelniających”.

Aby dowiedzieć się, jak skonfigurować popularnych dostawców tożsamości, zapoznaj się z poniższymi krokami lub zajrzyj do dokumentacji i kanałów pomocy technicznej swojego dostawcy, jeśli potrzebujesz pomocy.

Krok 5: Zarządzaj rolami i grupami użytkowników

Za pośrednictwem grup SCIM można przypisywać role organizacyjne, członkostwa w obszarach roboczych, role obszarów roboczych i grupy obszarów roboczych. Aby używać grup SCIM do zarządzania członkostwem i rolami, dostawca tożsamości musi przesyłać/ściągać grupy SCIM według ich nazw wyświetlanych (lub opisów, jeśli używana jest platforma Azure i zasady na to pozwalają), postępując zgodnie ze szczegółową konwencją opisaną poniżej.

Limity i najlepsze praktyki

Podczas pracy z użytkownikami, rolami i grupami SCIM należy pamiętać o następujących kwestiach:

• Zdecydowanie zalecamy utworzenie dedykowanego konta użytkownika interfejsu API na potrzeby provisioningu, ponieważ usługa SCIM będzie działać w imieniu tego użytkownika. Działania SCIM w dzienniku aktywności są przypisywane wybranemu użytkownikowi i muszą mieć role: administratora użytkowników organizacji, administratora obszaru roboczego organizacji i administratora zabezpieczeń organizacji.
  
• Synchronizacja haseł nie jest obsługiwana.
• Użytkownikami zaproszonymi do organizacji z innej organizacji (np. audytorami lub zewnętrznymi doradcami prawnymi) nie można zarządzać za pomocą SCIM. Jeśli Twoja organizacja chce mieć pełną kontrolę nad użytkownikami zewnętrznymi w ramach organizacji Workiva, zamiast dodawać użytkownika z innej organizacji, musisz utworzyć dla nich konto dostawcy tożsamości.
• Pola imienia, nazwiska, nazwy wyświetlanej i adresu e-mail są obowiązkowe dla wszystkich użytkowników.
• W polach nazw nie można używać znaków diakrytycznych. Jeśli w nazwie niektórych użytkowników znajdują się te znaki, zalecamy modyfikację mapowań, aby je zastąpić.
• Podczas dodawania użytkownika do roli lub grupy obszaru roboczego za pomocą grup SCIM dodawany użytkownik musi być już członkiem obszaru roboczego (więcej szczegółów znajduje się w Krok 5: Zarządzanie rolami i grupami użytkowników). Jeśli użytkownik nie jest jeszcze członkiem obszaru roboczego, nasz system wstrzyma operację na maksymalnie 30 sekund, po czym zakończy działanie, aż dostawca tożsamości poprosi o dodanie użytkownika do obszaru roboczego. Jeśli dodasz je przed upływem czasu, akcja zostanie wznowiona i pomyślnie ukończona.
• Podczas zbiorczego przypisywania użytkowników (ponad 20) do ról lub grup obszarów roboczych najlepszą praktyką jest upewnienie się, że użytkownikom najpierw przyznano członkostwo w obszarze roboczym, a następnie przypisano im role lub grupy obszarów roboczych w kolejnych wywołaniach od dostawcy tożsamości. Taka kolejność operacji gwarantuje, że użytkownicy zostaną poprawnie dodani do obszaru roboczego przed podjęciem próby wprowadzenia dodatkowych zmian, np. dodania roli obszaru roboczego.

Komunikaty o błędach

Potrzebujesz pomocy?

Jeśli napotkasz jakiekolwiek problemy lub potrzebujesz pomocy w skonfigurowaniu dostawcy tożsamości, możesz skontaktować się z pomocą techniczną, aby uzyskać pomoc.