Bevor Sie beginnen
Führen Sie die Schritte aus, die im Supportartikel zur SCIM-Verzeichnisintegration beschrieben sind, um ein neues SCIM-Benutzerverzeichnis in Ihrem Kandji Mandanten einzurichten. Sie müssen das SCIM-Zugriffstoken und die API-URL abrufen.
Kopieren und speichern Sie das bereitgestellte Token, wie im Artikel SCIM-Verzeichnisintegration beschrieben. Das Token ist nicht sichtbar, sobald Sie auf Fertig klicken, und wird in einem späteren Schritt benötigt.
Überprüfen Sie unbedingt die unterstützten Benutzer- und Gruppenattribute, die in der SCIM-Verzeichnisintegration aufgeführt sind.
Erstellen der SCIM-Integration in OneLogin
Melden Sie sich bei Ihrer OneLogin-Verwaltungskonsole an. (Beispiel: https://accuhive.onelogin.com/admin2)
Bewegen Sie den Mauszeiger in der oberen Navigation auf Anwendungen.
Klicken Sie im Dropdown-Menü auf Anwendungen .
Klicken Sie rechts oben auf App hinzufügen.
Geben Sie in das Textfeld SCIM Provisioner ein.
Klicken Sie auf SCIM Provisioner mit SAML (SCIM v2 Enterprise).
Konfigurieren von SCIM-Einstellungen
Führen Sie in der Anwendung SCIM Provisioner mit SAML (SCIM v2 Enterprise) die folgenden Schritte aus, um die SCIM-Einstellungen zu konfigurieren. Die folgenden Schritte umfassen das Bereitstellen von Benutzern und Gruppen (Rollen).
Info
(Optional) Aktualisieren Sie den Anzeigenamen der App auf etwas wieKandji SCIM Provisioner.
(Optional) Wählen Sie aus, ob die App im OneLogin-Portal sichtbar sein soll.
(Optional) Fügen Sie ein Symbol hinzu.
(Optional) Fügen Sie eine Beschreibung hinzu.
Nachdem Sie die Grundkonfiguration abgeschlossen haben, klicken Sie auf Speichern.
Parameters
Navigieren Sie zur Parameters Seite.
Klicken Sie rechts auf die Taste "Hinzufügen" (+)
Geben Sie email.value in den Feldnamen ein.
Klicken Sie auf Speichern.
Klicken Sie auf den Parameter email.value und setzen Sie den Wert auf E-Mail.
Klicken Sie auf Speichern.
Konfiguration
Navigieren Sie zur Seite Konfiguration.
Fügen Sie im Feld SCIM-Basis-URL die Kandji SCIM-URL aus der Integration ein, die zuvor mit dem Supportartikel zur SCIM-Verzeichnisintegration erstellt wurde. (Beispiel: https://accuhive.api.kandji.io/api/v1/scim).
Fügen Sie im Feld SCIM-Bearer-Token das Token ein, das Sie beim Erstellen des Integrations- Kandji kopiert haben.
Klicken Sie auf Aktivieren , um die API-Verbindung zu aktivieren.
Klicken Sie auf Speichern.
Bereitstellung
Wechseln Sie zur Seite Bereitstellung.
Aktivieren Sie das Kontrollkästchen zum Aktivieren der Bereitstellung.
Deaktivieren Sie die Kontrollkästchen neben Benutzer erstellen, Benutzer löschen und Benutzer aktualisieren.
Wählen Sie für die Option Wenn Benutzer in OneLogin gelöscht werden oder der App-Zugriff des Benutzers entfernt wird ... die Option Löschen aus.
Wählen Sie für die Option Wenn Benutzerkonten in OneLogin gesperrt werden die Option Sperren aus.
Klicken Sie nun oben rechts auf Speichern, um die Erstkonfiguration beizubehalten.
Bereitstellen von Benutzern und Rollen (Kandji Gruppen) für Kandji
Führen Sie die folgenden Schritte aus, um Benutzer und OneLogin-Rollen über die SCIM-Integration an Kandji zu senden.
OneLogin-Rollen sind gleichbedeutend mit Gruppen in Kandji und werden der SCIM-Konfiguration zugewiesen. Wenn Benutzer Rollen in OneLogin zugewiesen werden, werden sie an Kandji weitergeleitet. Darüber hinaus werden alle Rollen, die der SCIM-App zugewiesen sind, als Gruppen an Kandji übertragen.
Erstellen einer Rolle
Bewegen Sie den Mauszeiger in der oberen Navigation über Benutzer.
Klicken Sie im Dropdown-Menü auf Rollen.
Klicken Sie auf Neue Rolle.
Geben Sie der Rolle einen Namen.
Wählen Sie die Apps aus, die der Rolle zugewiesen werden sollen. In diesem Fall haben wir uns für die SCIM-App entschieden.
Klicken Sie auf Speichern.
Zuweisen von Benutzern zur Rolle
Klicken Sie zurück in die Rolle, die gerade erstellt wurde.
Klicken Sie auf Benutzer.
Klicken Sie unter Automatisch hinzugefügte Benutzer auf Neue Zuordnung.
Geben Sie dem Mapping einen Namen.
Schaffen Sie die Bedingungen, die Ihren Anforderungen entsprechen. In diesem Beispiel wählen wir Gruppenmitgliedschaft als Kriterium aus, aber Sie können auch andere Kriterien wie Abteilung verwenden.
OneLogin erlaubt es einem Benutzer nur, Mitglied einer Gruppe zu sein, sodass Sie sich OneLogin-Gruppen wie ein Attribut vorstellen können, das den Benutzer ähnlich wie die Abteilung oder den Standort beschreibt. Verwenden Sie OneLogin-Rollen, wenn ein Benutzer Mitglied von mehr als einer "Gruppe" sein muss.
Wählen Sie unter Aktionen die Rolle aus, die angewendet werden soll.
Klicken Sie auf Speichern.
Weitere Informationen zur Gruppenbereitstellung finden Sie in der OneLogin-Dokumentation hier.
Falls gewünscht, können Benutzer auch manuell aus dem Datensatz jedes Benutzers zu den SCIM-Apps hinzugefügt werden.
Hinzufügen einer Regel zur SCIM-App
Führen Sie die folgenden Schritte aus, um eine oder mehrere Rollen (Kandji Gruppen) in die OneLogin SCIM-App zu Kandji.
Klicken Sie in der SCIM-App auf Regeln.
Klicken Sie auf Regel hinzufügen.
Geben Sie der Regel einen Namen.
Wählen Sie unter Actions (Aktionen) in der ersten Dropdown-Liste die Option Set Groups in (Gruppen festlegen in) aus.
Wählen Sie Map from OneLogin aus.
Wählen Sie im Feld Für jeden die Option role aus der Dropdown-Liste aus.
Geben Sie im Feld mit übereinstimmendem Wert die SCIM-Rolle ein, die als Gruppe an Kandji übertragen werden soll.
Klicken Sie auf Speichern.
Pushen von Updates
Zeitlich übereinstimmend Synchronisierung Die Synchronisierung von Benutzern und Gruppen erfolgt in eine Richtung, d. h. die SCIM-App sendet nur dann Benutzerinformationen an Kandji, wenn neue oder aktualisierte Informationen gesendet werden müssen. Aus diesem Grund wird in der Kandji Web-App keine Option "Jetzt synchronisieren" benötigt.
Wenn die SCIM-App in OneLogin aktualisiert wird, müssen Sie die Änderung speichern und dann die Berechtigungszuordnungen erneut anwenden verwenden.
Bewegen Sie den Mauszeiger über das Menü Weitere Aktionen.
Klicken Sie auf die Option Berechtigungszuordnungen erneut anwenden.
