在企业上云过程中,为降低维护和管理成本,通常需要将内部系统的账号同步至云端。通过SCIM(跨域身份管理系统)协议,结合阿里云IDaaS的OAuth应用安全授权,您可以将Okta中的用户或用户组同步到阿里云IDaaS,实现统一的身份管理。
前提条件
权限要求:
在阿里云IDaaS中,您需要具备管理员权限。
在Okta中,您需要具备超级管理员(Super Administrator)权限。
环境准备:
确保您的Okta实例已启用SCIM 2.0支持。
确保您的阿里云IDaaS实例已创建,并具备相应的网络访问权限。
步骤一:在 IDaaS 中创建应用并授权
在应用管理页面,找到目标应用并进入其详情页。在账户同步标签下,切换到应用同步到IDaaS页签。详情请参见:IDaaS与应用间账户同步。
在IDaaS页签配置同步应用,需查看Bearer Token(用于身份验证)和SCIM Base URL(指定接收SCIM请求的客户端地址),通过接口授权管理SCIM接口权限。
选择SCIM API接口权限,请参见开启API开放功能。
步骤二:在 Okta 中配置 SCIM 集成
创建 Okta 应用。详情请参见:在Okta创建支持SAML SSO的应用。
启用 SCIM 配置。在创建的应用里选择General页签,点击右上角Edit,勾选Enable SCIM provisioning。然后单击Save保存。
开始预配。点击 Provisioning 页签。
配置SCIM连接。在SCIM Connection区域,单击Edit并配置以下相关参数。
SCIM connector base URL :将 IDaaS 提供的 SCIM Base URL 填入此处。
Unique identifier field for users :填写 userName。
Supported provisioning actions :勾选Push New Users、Push Profile Updates、Push Groups选项用于推送新用户、个人资料更新和组信息。
Authentication Mode :单击下拉框选择 HTTP Header。
Authorization : 将 IDaaS 提供的 Bearer Token 认证令牌填入此处。
测试连接是否成功。单击Test Connector Configuration。连接成功后提示Connector Configured successfully,单击Save保存。
配置到 IDaaS 应用。
在To App页签上根据实际需求勾选对应选项。Sync Okta Password按需勾选,若不勾选,Okta修改密码时,不会同步。勾选完成后单击Save保存。
属性映射。通过属性映射功能,Okta可将用户配置数据推送到目标应用IDaaS,实现用户账户字段的自动配置与更新。
您可以选择 Go to Profile Editor 打开所选应用程序的标准配置文件编辑器,或者选择 Force Sync 立即将应用程序的更改同步到Okta。
单击最右侧
按钮,删除不相关的属性映射,仅保留下图所示的属性映射。
重要不支持映射Okta用户配置中不存在的属性。
如需调整字段属性映射,请点击右侧
按钮修改配置。完成修改后,单击 Save 即可。(可选)
同步用户。分配用户到应用,单击Assignments页签,选择Assign选项,本示例中采用Assign to People,确定需要分配的用户,单击Assign。根据实际需求修改相关属性,修改完成后,单击Save and Go Back选择需要同步的用户。
同步用户组。单击Push Groups页签,选择查找用户组的方式。本示例中采用Find groups by name,输入用户组名称,单击Save。当Push Status由Pushing变为Active,表示用户组同步成功。
重要需确保OKta与IDaaS的密码策略一致,您可以根据OKta的密码策略在IDaaS中进行相应配置,或根据IDaaS的密码策略在OKta中进行调整,以实现统一的密码安全要求。
步骤三:验证同步效果
返回IDaaS控制台,检查是否成功同步用户信息。
在用户或用户组列表中,查看同步成功的用户或用户组。同步的用户或用户组的来源会自动标识为SCIM导入。
通过以上步骤,您可以成功将Okta中的用户或用户组同步到阿里云IDaaS 中,从而实现统一的身份管理。此方案不仅减少了手动维护的工作量,还提升了身份管理的效率和安全性。如需进一步帮助,请联系商务经理进行咨询,或联系产品技术专家进行咨询。