Integración de directorios SCIM - Okta

  • EF

Antes de empezar

  • Complete los pasos descritos en el artículo de soporte técnico de integración de directorios SCIM para configurar un nuevo directorio de usuario SCIM en el inquilino Kandji . Deberá obtener el token de acceso SCIM y la URL de la API.

  • Asegúrate de utilizar el plan de gestión avanzada del ciclo de vida de Okta, que admite el aprovisionamiento integrado y basado en estándares para SCIM.

  • Copie y almacene el token proporcionado como se describe en el artículo Integración de directorio SCIM . El token no será visible una vez que haga clic en Listo y será necesario en un paso posterior.

  • Asegúrese de revisar los atributos de usuario y grupo admitidos enumerados en la integración de directorios SCIM.

Crear la integración de SCIM en Okta

La aplicación Kandji disponible en la red de integración de Okta (OIN) no se puede aprovisionar para SCIM. Se debe crear una nueva integración de aplicaciones para aprovechar SCIM. Esta nueva integración de la aplicación no interferirá con ninguna integración de SSO de Okta existente que aproveche la aplicación OIN Kandji .

  1. Inicie sesión en su inquilino de Okta a través de login.okta.com

  2. Una vez que haya iniciado sesión, en la barra de navegación de la izquierda, vaya a Aplicaciones > Aplicaciones

  3. Haga clic en Crear integración de aplicaciones

  4. Seleccione SAML 2.0 como tipo de aplicación y haga clic en Siguiente.

  5. En Configuración general, asigne un nombre a la aplicación y marque la casilla dentro de la sección Visibilidad de la aplicación . A continuación, haga clic en Siguiente.

  6. En Configuración de SAML, introduzca una URL ficticia en los campos URL de inicio de sesión único y URI de audiencia (ID de entidad SP). No cambie ninguna otra configuración.

  7. Haga clic en Siguiente.

    Dado que no utilizaremos esta integración de aplicaciones para SSO, no es necesario que las URL sean válidas; sin embargo, debe introducir las URL en estos campos para continuar. Si decide habilitar el inicio de sesión único de SAML en Kandji, puede usar esta misma aplicación para hacerlo.

  8. En Ayuda al equipo de soporte de Okta para comprender cómo configuró esta aplicación, seleccione Soy cliente de Okta para agregar una aplicación interna y haga clic en Finalizar.

Configurar los ajustes de SCIM

  1. En la aplicación SCIM Kandji , vaya a la pestaña General .

  2. En la sección Configuración , haga clic en Editar.

  3. Seleccione SCIM en la configuración Aprovisionamiento.

  4. No modifique ninguna otra configuración y haga clic en Guardar

  5. En la pestaña Aprovisionamiento , haga clic en Editar en la sección Integración.

  6. En URL base del conector SCIM, introduzca la URL base de integración SCIM copiada de Kandji (ejemplo: https://accuhive.api.kandji.io/api/v1/scim).

  7. En Campo de identificador único para usuarios, escriba userName.

  8. En Acciones de aprovisionamiento compatibles, seleccione Insertar nuevos usuarios, Insertar actualizaciones de perfil y Insertar grupos.

  9. En Modo de autenticación, seleccione Encabezado HTTP.

  10. En Autorización, introduzca el token de portador obtenido en el artículo Kandji Integración de directorios SCIM mencionado anteriormente.

  11. Haga clic en Probar configuración del conector para probar la integración.

    • Solo se deben marcar Crear usuarios, actualizar atributos de usuario y Enviar grupos en el modal que se muestra.

  12. Haga clic en Guardar.

  13. Mientras aún se encuentra en la pestaña Aprovisionamiento , vaya a la sección A la aplicación y haga clic en Editar.

  14. En la sección Aprovisionamiento en aplicación, habilite Crear usuarios, Actualizar atributos de usuario y Desactivar usuarios.

  15. Haga clic en Guardar.

  16. (Opcional) En las  Asignaciones de atributos, edite los atributos de usuario que se enviarán a Kandji. Kandji solo almacenará y utilizará los atributos mencionados en el artículo de la base de conocimientos de integración de SCIM Directory .

Usuarios y grupos

Asignación de usuarios a Kandji

En esta sección se explica la asignación de usuarios a Kandji mediante la creación de un grupo de usuarios de Okta llamado kandji_apple_users. Este grupo se agregará a la pestaña Tarea en la aplicación Okta SCIM. 

 Este método es solo un ejemplo que muestra cómo asignar usuarios a Kandji a través de Okta SCIM.

  1. En una nueva pestaña del navegador, vaya a Directorio > Grupos y haga clic en Agregar grupo.

  2. Asigne al grupo un nombre descriptivo, como kandji_apple_user y haga clic en Guardar.

  3. Busque el grupo que acaba de crear y agregue uno o más usuarios de prueba.

  4. Vuelva a la pestaña del navegador donde está abierta la aplicación Okta SCIM

  5. Vaya a la pestaña Asignaciones , haga clic en Asignar > Asignar a grupos.

  6. Busque el grupo recién creado y haga clic en Asignar > Guardar y volver.

  7. Confirme que se asignó el grupo y haga clic en Listo. El grupo ahora debería aparecer en la sección Grupos de la pestaña Tareas .

  8. Si el grupo no se muestra, intente actualizar la pestaña del navegador.

Todos los usuarios que pertenezcan a este grupo serán empujados a Kandji y aparecerán en el módulo Usuarios . Discutiremos cómo empujar grupos a Kandji en la siguiente sección.

Empujar a los grupos a Kandji

En esta sección, aprenderá a enviar grupos de usuarios a Kandji.

Cuando planee enviar grupos de Okta a Kandji para su uso en las reglas de asignación, para cada grupo que desee enviar, agréguelo a la pestaña Empuje de grupo en la aplicación SCIM.

Según este Okta article, los grupos utilizados para asignar usuarios en la pestaña Asignación no se pueden usar en la pestaña Grupos de inserción. Okta recomienda crear grupos adicionales que contengan los mismos usuarios y agregar los nuevos grupos a la pestaña Grupos de inserción para una membresía de grupo consistente.

Si se agrega el mismo grupo en ambos lugares, la pestaña de tarea tendrá prioridad y el grupo no se puede insertar. Una forma de manejar esto es crear un solo grupo de "asignación de usuario" que contenga todos sus usuarios Kandji y agregar ese grupo a la pestaña Asignación. A partir de ahí, puedes utilizar tus grupos de Okta existentes como Grupos de Inserción. Recuerde que para que la asociación de grupos de usuarios funcione, los miembros de los grupos insertados también deben ser miembros del grupo de usuarios Kandji asignados a la aplicación SCIM.

  1. En la pestaña Grupos de inserción , seleccione Grupos de inserción > Buscar grupos por nombre. (Si lo prefiere, también puede usar la regla Buscar grupos por)

  2. Busca un grupo y selecciónalo.

  3. Asegúrese de que la opción Crear grupo esté seleccionada.

  4. Haga clic en Guardar y agregar otro.

  5. Busque y agregue grupos adicionales que le gustaría enviar a Kandji.

Para que la asociación de grupos de usuarios funcione, los miembros de los grupos insertados también deben ser miembros del grupo de usuarios Kandji asignados a la aplicación SCIM.

Actualización automática de la membresía para el grupo de usuarios de kandji apple

Las reglas de grupo de Okta se pueden usar para actualizar automáticamente el kandji_apple_users grupo al agregar a alguien a uno de sus grupos existentes utilizados como grupos de inserción. Por ejemplo, si agrega a alguien al grupo de desarrolladores, se puede crear una regla de modo que cuando agregue nuevos usuarios al grupo de desarrolladores, también se agreguen al kandji_apple_users grupo. Los nuevos usuarios se asignarán a la aplicación SCIM y se enviarán a Kandji a través de la integración de SCIM, y se actualizarán las asociaciones de grupos.

  1. Haga clic en Directorio > Grupos > Reglas > Agregar regla.

  2. Asigne un nombre a la regla. Ejemplo: "actualizar la pertenencia a kandji_apple_users un grupo"

  3. Elija Pertenencia a grupos como condición.

  4. Introduzca los nombres de los grupos utilizados como grupos de inserción.

  5. En Asignar para introducir kandji_all_apple.

  6. Haga clic en Guardar.

  7. De vuelta en la página de reglas del grupo, junto a la regla. seleccione el menú desplegable Acciones y, a continuación, Activar.

Envío de actualizaciones de grupo

  • Si agrega usuarios adicionales al grupo asignado a la aplicación SCIM en Okta, asegúrese de actualizar también los grupos que ha agregado como grupos Push.

  • Las actualizaciones deberían verse en Kandji con bastante rapidez, pero si desea enviar actualizaciones de grupo de inmediato, puede elegir la opción Enviar ahora desde la pestaña Enviar grupos en la aplicación Okta. Puede encontrar más información en el Okta article.

    La sincronización de usuarios y grupos es unidireccional, lo que significa que la aplicación SCIM enviará información del usuario a Kandji solo cuando haya información nueva o actualizada para enviar. Por este motivo, no es necesaria la opción "Sincronizar ahora" en la aplicación web Kandji .

Eliminación de grupos insertados

Siga estos pasos para detener la inserción de actualizaciones de grupo o, opcionalmente, eliminar un grupo insertado de Kandji.

  1. Ve a la pestaña Grupos de inserción de la aplicación en Okta.

  2. En la columna Estado de inserción, seleccione Desvincular grupo de inserción.

  3. Seleccione la opción Eliminar el grupo en la aplicación de destino (recomendado). Esto ELIMINARÁ el grupo en la aplicación de destino y las cuentas de usuario NO se eliminarán. Las cuentas de usuario están vinculadas al grupo de asignación en la pestaña Aprovisionamiento

  4. Haga clic en Desvincular.

Ya no debería ver el grupo en la pestaña Grupos de inserción .