使用 SCIM 管理和佈建使用者

SCIM 概覽

按照以下步驟為您的組織設定 SCIM 支援。若要設定 SCIM，您需要成為組織安全管理員。

什麼是 SCIM？

跨網域身份管理系統 (SCIM) 是一個開放規格，旨在使管理使用者身份變得簡單且自動化。使用 SCIM，即可透過支援 SCIM 的身份提供者自動管理建立與中止 Workiva 使用者身份（例如 Okta、SailPoint IdentityIQ、PingFederate、OneLogin、Azure Active Directory 等）

此外，SCIM 支援群組可用來管理組織角色、工作區成員、工作區角色與工作區群組。這允許您透過偏好的身份提供者管理整個使用者生命週期。

SCIM 使用 2015 年發佈的最新版本標準 SCIM 2.0。該服務可透過 HTTPS 存取，就像您目前使用的瀏覽器一樣，不需要新的防火牆規則或修改網路。

注意：Workiva 僅支援並協助疑難排解市售或可免費取得的 SCIM 使用者端配置。

SCIM 與 SAML 單一登入

SCIM 應與支援 SAML 的單一登入 (SSO) 搭配使用，後者透過您的身份提供者 (IdP) 提供 Workiva 存取權。在設定 SCIM 之前，請確保您已審閱 SAML 單一登入的基礎知識和設定 SAML 單一登入。

第 1 步：新增身份提供者

首先，您需要在組織內設定身份提供者。若要建立身份提供者：

1. 在 Organization Admin 中，按一下 Security。
2. 按一下 Identity Provisioning。
   
3. 按一下 Add Provisioner。

第 2 步：輸入提供者資訊

現在您已準備好建立新的身份提供者關聯。若要建立新的身份提供者：

1. 為您的關聯設定 Full Name。此名稱應說明會用哪套系統傳送使用者資訊給 Workiva，例如「SailPoint Production」。
2. 設定 Credential Type。請參閱身份提供者的文件，以確定使用哪種憑證。若您的身份提供者同時支援兩種憑證，我們建議您使用持有人權杖。
3. 設定將由 SCIM 服務代其操作的 Username。「活動記錄」中的 SCIM 動作將歸屬於您所選的使用者，也會替使用者產生 API 憑證。我們建議您基於此目的，為「組織安全管理員」與「組織工作區管理員」角色建立專屬使用者。
4. 或者，請為此身份提供者輸入 Description。
5. 在 Administrator Contact 下方輸入 IT 部門內的技術聯絡人姓名與電子郵件地址，以便我們在發生問題或未來需要溝通增強功能時聯絡。
   
6. 按一下 Create Provisioning 以完成。

您將看到下一步所需的身份提供者連線詳細資料。

第 3 步：設定您的身份提供者

設定身份提供者關聯後，您可以設定雲端或本機的身份提供者軟體，以連結至 Workiva。確切步驟視您使用的身份提供者而定；如需協助，請參閱提供者與支援管道。

• 確定您正在設定 SCIM 2.0 的連線，因為我們不支援舊版的 SCIM 協定。
• 如果您使用的是基本身份驗證類型，請注意您身份提供者軟體件中的「使用者名稱」應與「憑證」的「ID」與「密碼」相同。

步驟 4：管理使用者角色和群組

您可以透過 SCIM 群組指派組織角色、工作區成員資格、工作區角色和工作區群組。要使用 SCIM 群組來管理成員資格和角色，您的身份提供者必須按照下面說明的確切規定，按顯示名稱推送/提取 SCIM 群組。

限制與最佳做法

在您使用使用者、角色與群組 SCIM 時，請將以下幾點銘記在心：

• 使用 SCIM 群組新增使用者至工作區角色或工作區群組時，新增使用者必須已是工作區的成員（詳細資訊請參閱上表）。
• 若他們還不是工作區的成員，在指派失敗前，我們的系統會先將他們保留 30 秒，等待您的身份提供者要求將此使用者新增至工作區。若他們在時間截止前新增至工作區，就會繼續執行並成功完成此動作。
• 在執行批次指派使用者 (20 人以上) 至工作區角色或工作區群組時，最佳做法是確保先給予使用者工作區成員資格，再透過您的身份提供者執行呼叫，指派工作區角色或工作區群組。此操作順序可確保在嘗試進一步變更前（如新增工作區角色），正確新增使用者至工作區。

需要幫忙？

若您遇到任何問題，或需要設定身份提供者的相關說明，請透過 support@workiva.com 聯絡平台取得支援。