通过SCIM同步Okta用户或用户组的示例

功能特性

• 创建用户

  云SSO会自动创建与Okta应用程序中同名的用户。如果云SSO中已经存在Okta同名用户，则云SSO中不会再次创建该用户。

• 按组推送

  分配到Okta应用程序中的用户组及组内用户，会同步推送到云SSO，即会在云SSO创建同名用户组及组内用户。

• 更新用户属性

  当您在Okta中更新应用程序中的用户属性，则云SSO中也会同步更新该用户的属性。

• 禁用用户

  当您在Okta中禁用用户或将用户从应用程序移除，则云SSO中也会同步禁用该用户。

步骤一：在云SSO创建SCIM密钥

1. 登录云SSO控制台。
2. 在左侧导航栏，单击设置。
3. 在用户同步配置区域，单击生成密钥。
4. 在SCIM密钥生成成功对话框，复制SCIM密钥，然后单击关闭。
5. 可选：在用户同步配置区域，单击生成新的SCIM密钥，可以创建第二个SCIM密钥。

步骤二：在云SSO启用SCIM同步

1. 登录云SSO控制台。
2. 在左侧导航栏，单击设置。
3. 在用户同步配置区域，打开SCIM同步开关，启用SCIM同步。

步骤三：在Okta配置SCIM同步

1. 在应用程序CloudSSODemo详情页，单击Provisioning页签。
2. 在Settings页面的Integration区域，单击Configure API Integration。
3. 选中Enable API Integration。
4. 配置SCIM同步信息。
   1. 在Base URL区域，输入URL。
      该URL从云SSO SCIM配置页面的 SCIM服务端地址区域获取。
   2. 在API Token区域，输入SCIM密钥。
      该密钥通过 步骤一：在云SSO创建SCIM密钥获取。
   3. 单击Test API Credentials。
   4. 查看测试结果，如果测试成功，单击Save。否则，请修改配置或咨询Okta技术支持人员，直到测试成功。
5. 在To App页面的Provisioning to App区域，单击Edit。
6. 选中Create Users、Update User Attributes和Deactivate Users各配置项的Enable，然后单击Save。
7. 在To App页面的CloudSSODemo Attribute Mappings区域，配置属性映射。
   删除不相关的属性映射，仅保留下图所示的属性映射。
8. 可选：单击Push Groups页签，同步用户组。
   上述步骤完成后，Okta用户已经自动同步到云SSO中。如果您还想同步用户组，且用户组已分配到应用程序CloudSSODemo，请按以下操作进行：
   1. 在Push Groups to CloudSSODemo区域，单击Push Groups，选择查找用户组的方式。
      支持 Find groups by name和 Find groups by rule两种查找方式，本示例中采用 Find groups by name。
   2. 输入用户组名称。
   3. 单击Save。
   4. 等待系统同步完成，然后查看同步结果。
      当 Push Status由 Pushing变为 Active，表示用户组同步成功。

      说明 如果用户组中的用户没有全部同步到云SSO，您可以在 Push Status下拉列表中，单击 Push Now，重新同步用户组中的用户。

同步过程中如果遇到异常，您可以单击View Logs查看日志信息，帮助您解决问题。

验证结果

1. 登录云SSO控制台。
2. 在用户或用户组列表中，查看同步成功的用户或用户组。

   同步的用户或用户组的来源会自动标识为SCIM同步。

   具体操作，请参见查看用户信息和查看用户组信息。

常见问题

如何删除同步的用户？

当您在Okta中删除用户，云SSO会根据SCIM协议请求禁用对应的用户，而不是删除。如果您希望在云SSO删除用户，则可以暂时禁用SCIM同步，手动删除用户后再启用SCIM同步。具体操作，请参见禁用SCIM同步和删除用户。