本文為您介紹通過SCIM協議,將Okta中的使用者或使用者組同步到雲SSO。
前提條件
基於SCIM的使用者同步適用於開通雲SSO的企業使用者。
背景資訊
假設企業在本地IdP Okta中有大量使用者,且已在阿里雲資來源目錄(RD)中搭建了多帳號體繫結構。企業希望經過配置,將Okta的使用者同步到雲SSO,然後使用使用者名稱和密碼或通過單點登入(SSO登入)的方式直接存取資來源目錄指定成員帳號中的指定資源。
為方便您的操作,您可以先配置SSO登入,然後使用同一個應用程式CloudSSODemo通過SCIM同步處理的使用者或使用者組。具體操作,請參見Okta與雲SSO進行單點登入的樣本。
功能特性
建立使用者
雲SSO會自動建立與Okta應用程式中同名的使用者。如果雲SSO中已經存在Okta同名使用者,則雲SSO中不會再次建立該使用者。
按組推送
分配到Okta應用程式中的使用者組及組內使用者,會同步推送到雲SSO,即會在雲SSO建立同名使用者組及組內使用者。
更新使用者屬性
當您在Okta中更新應用程式中的使用者屬性,則雲SSO中也會同步更新該使用者的屬性。
禁用使用者
當您在Okta中禁用使用者或將使用者從應用程式移除,則雲SSO中也會同步禁用該使用者。
步驟一:在雲SSO建立SCIM密鑰
登入雲SSO控制台。
在左側導覽列,單擊設定。
在SCIM使用者同步配置地區,單擊產生新的SCIM密鑰。
在SCIM密鑰產生成功對話方塊,複製SCIM密鑰,然後單擊確定。
步驟二:在雲SSO啟用SCIM同步
登入雲SSO控制台。
在左側導覽列,單擊設定。
在SCIM使用者同步配置地區,開啟SCIM同步開關,啟用SCIM同步。
步驟三:在Okta配置SCIM同步
在應用程式CloudSSODemo詳情頁,單擊Provisioning頁簽。
在Settings頁面的Integration地區,單擊Configure API Integration。
選中Enable API Integration。
配置SCIM同步資訊。
在Base URL地區,輸入URL。
該URL從雲SSO SCIM配置頁面的SCIM服務端地址地區擷取。
在API Token地區,輸入SCIM密鑰。
該密鑰通過步驟一:在雲SSO建立SCIM密鑰擷取。
單擊Test API Credentials。
查看測試結果,如果測試成功,單擊Save。否則,請修改配置或諮詢Okta技術支援人員,直到測試成功。
在To App頁面的Provisioning to App地區,單擊Edit。
選中Create Users、Update User Attributes和Deactivate Users各配置項的Enable,然後單擊Save。
在To App頁面的CloudSSODemo Attribute Mappings地區,配置屬性對應。
刪除不相關的屬性對應,僅保留下圖所示的屬性對應。
可選:單擊Push Groups頁簽,同步處理的使用者組。
上述步驟完成後,Okta使用者已經自動同步到雲SSO中。如果您還想同步處理的使用者組,且使用者組已指派到應用程式CloudSSODemo,請按以下操作進行:
在Push Groups to CloudSSODemo地區,單擊Push Groups,選擇尋找使用者組的方式。
支援Find groups by name和Find groups by rule兩種尋找方式,本樣本中採用Find groups by name。
輸入使用者組名稱。
單擊Save。
等待系統同步完成,然後查看同步結果。
當Push Status由Pushing變為Active,表示使用者組同步成功。
說明如果使用者組中的使用者沒有全部同步到雲SSO,您可以在Push Status下拉式清單中,單擊Push Now,重新同步處理的使用者組中的使用者。
同步過程中如果遇到異常,您可以單擊View Logs查看日誌資訊,協助您解決問題。
驗證結果
登入雲SSO控制台。
在使用者或使用者組列表中,查看同步成功的使用者或使用者組。
常見問題
如何刪除同步的使用者?
當您在Okta中刪除使用者,雲SSO會根據SCIM協議請求禁用對應的使用者,而不是刪除。如果您希望在雲SSO刪除使用者,則可以暫時禁用SCIM同步,手動刪除使用者後再啟用SCIM同步。具體操作,請參見禁用SCIM同步和刪除使用者。