通過SCIM同步Okta用戶或用戶組的示例
本文為您介紹通過SCIM協議,將Okta中的用戶或用戶組同步到云SSO。
前提條件
基于SCIM的用戶同步適用于開通云SSO的企業用戶。
背景信息
假設企業在本地IdP Okta中有大量用戶,且已在阿里云資源目錄(RD)中搭建了多賬號體系結構。企業希望經過配置,將Okta的用戶同步到云SSO,然后使用用戶名和密碼或通過單點登錄(SSO登錄)的方式直接訪問資源目錄指定成員賬號中的指定資源。
為方便您的操作,您可以先配置SSO登錄,然后使用同一個應用程序CloudSSODemo通過SCIM同步用戶或用戶組。具體操作,請參見Okta與云SSO進行單點登錄的示例。
功能特性
創建用戶
云SSO會自動創建與Okta應用程序中同名的用戶。如果云SSO中已經存在Okta同名用戶,則云SSO中不會再次創建該用戶。
按組推送
分配到Okta應用程序中的用戶組及組內用戶,會同步推送到云SSO,即會在云SSO創建同名用戶組及組內用戶。
更新用戶屬性
當您在Okta中更新應用程序中的用戶屬性,則云SSO中也會同步更新該用戶的屬性。
禁用用戶
當您在Okta中禁用用戶或將用戶從應用程序移除,則云SSO中也會同步禁用該用戶。
步驟一:在云SSO創建SCIM密鑰
登錄云SSO控制臺。
在左側導航欄,單擊設置。
在SCIM用戶同步配置區域,單擊生成新的SCIM密鑰。
在SCIM密鑰生成成功對話框,復制SCIM密鑰,然后單擊確定。
步驟二:在云SSO啟用SCIM同步
登錄云SSO控制臺。
在左側導航欄,單擊設置。
在SCIM用戶同步配置區域,打開SCIM同步開關,啟用SCIM同步。
步驟三:在Okta配置SCIM同步
在應用程序CloudSSODemo詳情頁,單擊Provisioning頁簽。
在Settings頁面的Integration區域,單擊Configure API Integration。
選中Enable API Integration。
配置SCIM同步信息。
在Base URL區域,輸入URL。
該URL從云SSO SCIM配置頁面的SCIM服務端地址區域獲取。
在API Token區域,輸入SCIM密鑰。
該密鑰通過步驟一:在云SSO創建SCIM密鑰獲取。
單擊Test API Credentials。
查看測試結果,如果測試成功,單擊Save。否則,請修改配置或咨詢Okta技術支持人員,直到測試成功。
在To App頁面的Provisioning to App區域,單擊Edit。
選中Create Users、Update User Attributes和Deactivate Users各配置項的Enable,然后單擊Save。
在To App頁面的CloudSSODemo Attribute Mappings區域,配置屬性映射。
刪除不相關的屬性映射,僅保留下圖所示的屬性映射。
可選:單擊Push Groups頁簽,同步用戶組。
上述步驟完成后,Okta用戶已經自動同步到云SSO中。如果您還想同步用戶組,且用戶組已分配到應用程序CloudSSODemo,請按以下操作進行:
在Push Groups to CloudSSODemo區域,單擊Push Groups,選擇查找用戶組的方式。
支持Find groups by name和Find groups by rule兩種查找方式,本示例中采用Find groups by name。
輸入用戶組名稱。
單擊Save。
等待系統同步完成,然后查看同步結果。
當Push Status由Pushing變為Active,表示用戶組同步成功。
說明如果用戶組中的用戶沒有全部同步到云SSO,您可以在Push Status下拉列表中,單擊Push Now,重新同步用戶組中的用戶。
同步過程中如果遇到異常,您可以單擊View Logs查看日志信息,幫助您解決問題。
驗證結果
登錄云SSO控制臺。
在用戶或用戶組列表中,查看同步成功的用戶或用戶組。
常見問題
如何刪除同步的用戶?
當您在Okta中刪除用戶,云SSO會根據SCIM協議請求禁用對應的用戶,而不是刪除。如果您希望在云SSO刪除用戶,則可以暫時禁用SCIM同步,手動刪除用戶后再啟用SCIM同步。具體操作,請參見禁用SCIM同步和刪除用戶。