通过SCIM同步Okta用户或用户组的示例
本文为您介绍通过SCIM协议,将Okta中的用户或用户组同步到云SSO。
前提条件
基于SCIM的用户同步适用于开通云SSO的企业用户。
背景信息
假设企业在本地IdP Okta中有大量用户,且已在阿里云资源目录(RD)中搭建了多账号体系结构。企业希望经过配置,将Okta的用户同步到云SSO,然后使用用户名和密码或通过单点登录(SSO登录)的方式直接访问资源目录指定成员账号中的指定资源。
为方便您的操作,您可以先配置SSO登录,然后使用同一个应用程序CloudSSODemo通过SCIM同步用户或用户组。具体操作,请参见Okta与云SSO进行单点登录的示例。
功能特性
创建用户
云SSO会自动创建与Okta应用程序中同名的用户。如果云SSO中已经存在Okta同名用户,则云SSO中不会再次创建该用户。
按组推送
分配到Okta应用程序中的用户组及组内用户,会同步推送到云SSO,即会在云SSO创建同名用户组及组内用户。
更新用户属性
当您在Okta中更新应用程序中的用户属性,则云SSO中也会同步更新该用户的属性。
禁用用户
当您在Okta中禁用用户或将用户从应用程序移除,则云SSO中也会同步禁用该用户。
步骤一:在云SSO创建SCIM密钥
登录云SSO控制台。
在左侧导航栏,单击设置。
在SCIM用户同步配置区域,单击生成新的SCIM密钥。
在SCIM密钥生成成功对话框,复制SCIM密钥,然后单击确定。
步骤二:在云SSO启用SCIM同步
登录云SSO控制台。
在左侧导航栏,单击设置。
在SCIM用户同步配置区域,打开SCIM同步开关,启用SCIM同步。
步骤三:在Okta配置SCIM同步
在应用程序CloudSSODemo详情页,单击Provisioning页签。
在Settings页面的Integration区域,单击Configure API Integration。
选中Enable API Integration。
配置SCIM同步信息。
在Base URL区域,输入URL。
该URL从云SSO SCIM配置页面的SCIM服务端地址区域获取。
在API Token区域,输入SCIM密钥。
该密钥通过步骤一:在云SSO创建SCIM密钥获取。
单击Test API Credentials。
查看测试结果,如果测试成功,单击Save。否则,请修改配置或咨询Okta技术支持人员,直到测试成功。
在To App页面的Provisioning to App区域,单击Edit。
选中Create Users、Update User Attributes和Deactivate Users各配置项的Enable,然后单击Save。
在To App页面的CloudSSODemo Attribute Mappings区域,配置属性映射。
删除不相关的属性映射,仅保留下图所示的属性映射。
可选:单击Push Groups页签,同步用户组。
上述步骤完成后,Okta用户已经自动同步到云SSO中。如果您还想同步用户组,且用户组已分配到应用程序CloudSSODemo,请按以下操作进行:
在Push Groups to CloudSSODemo区域,单击Push Groups,选择查找用户组的方式。
支持Find groups by name和Find groups by rule两种查找方式,本示例中采用Find groups by name。
输入用户组名称。
单击Save。
等待系统同步完成,然后查看同步结果。
当Push Status由Pushing变为Active,表示用户组同步成功。
说明如果用户组中的用户没有全部同步到云SSO,您可以在Push Status下拉列表中,单击Push Now,重新同步用户组中的用户。
同步过程中如果遇到异常,您可以单击View Logs查看日志信息,帮助您解决问题。
验证结果
登录云SSO控制台。
在用户或用户组列表中,查看同步成功的用户或用户组。
常见问题
如何删除同步的用户?
当您在Okta中删除用户,云SSO会根据SCIM协议请求禁用对应的用户,而不是删除。如果您希望在云SSO删除用户,则可以暂时禁用SCIM同步,手动删除用户后再启用SCIM同步。具体操作,请参见禁用SCIM同步和删除用户。