Externe Benutzerbereitstellung konfigurieren
Wenn Sie die externe Benutzerbereitstellung aktivieren, ermöglicht dies die automatische Benutzerverwaltung über eine Datenquelle des Identitätsanbieters, indem sie das System für ein domänenübergreifendes Identitätsmanagement (SCIM) nutzt.
Berechtigungen
Die externe Benutzerbereitstellung muss in Diligent One aktiviert und bei einem Identitätsanbieter eingerichtet werden. Um die externe Benutzerbereitstellung für eine Organisation zu konfigurieren, ist jemand mit Systemadministratorberechtigungen in Diligent One und jemand mit Administratorberechtigungen beim Identitätsanbieter erforderlich. Diese Berechtigungen können einer oder mehreren Personen gehören, die die Einrichtung der externen Benutzerbereitstellung koordinieren müssen. Im Allgemeinen sollte dies nur einmal eingerichtet werden müssen. Anschließend läuft das System von alleine.
Anforderungen
Diligent One unterstützt die Benutzerbereitstellung über SCIM 2.0, um eine automatische Benutzerverwaltung aus einer Datenquelle zu ermöglichen.
Unterstützte Vorgänge
Sobald die externe Benutzerbereitstellung aktiviert ist, wird das Hinzufügen oder Entfernen von Benutzern zu einer Organisation und die Aktualisierung von Benutzerprofilen automatisch von einem Identitätsanbieter an Diligent One übertragen.
Zukünftig ist die Unterstützung folgender Vorgänge geplant: Gruppenzuweisung und Gruppenverwaltung (Hinzufügen und Löschen).
Wenn Sie die externe Benutzerbereitstellung aktivieren, können Benutzer weiterhin direkt in Diligent One manuell hinzugefügt und verwaltet werden. Durch die Aktivierung der externen Benutzerbereitstellung erweitern Sie Ihre Optionen zur Benutzerverwaltung und können beide Möglichkeiten in einer Hybridlösung nutzen.
Zur Verdeutlichung: Benutzer, die ausschließlich in Diligent One hinzugefügt wurden und nicht mit dem Identitätsanbieter synchronisiert sind, können nur in Diligent One verwaltet werden. Von einem Identitätsanbieter synchronisierte Benutzer sollten nur beim Identitätsanbieter verwaltet werden. Wenn Änderungen an synchronisierten Benutzern in Diligent One vorgenommen werden, werden die Änderungen bei der nächsten Synchronisierung überschrieben. Siehe Unterstützung für die hybride Benutzerbereitstellung.
Unterstützung für die hybride Benutzerbereitstellung
Idealerweise dient der Identitätsanbieter als einzige Quelle für alle Benutzer, um die Benutzerverwaltung zu optimieren und zu automatisieren. Es kann dennoch vorkommen, dass eine Hybridlösung die beste Vorgehensweise bei der Benutzerverwaltung in Ihrem System ist. Beispielsweise müssen Sie möglicherweise keine Benutzer zu einem Identitätsanbieter hinzufügen, wenn diese Benutzer nur vorübergehenden Zugriff zwecks Fehlerbehebung oder Beratung benötigen.
In einer Hybridlösung können Benutzer, die ausschließlich in Diligent One hinzugefügt wurden und nicht mit dem Identitätsanbieter synchronisiert sind, nur in Diligent One verwaltet werden. Von einem Identitätsanbieter synchronisierte Benutzer sollten nur beim Identitätsanbieter verwaltet werden.
Wichtig
Die folgenden Informationen sollen auf mögliche Probleme hinweisen, die sich aus einer Hybridlösung ergeben können, damit Sie die beste Option für Ihr Unternehmen wählen und diese Probleme vermeiden können:
- Derzeit gibt es in Diligent One visuell keine Unterscheidung zwischen Benutzern, die über den Identitätsanbieter verwaltet werden, und solchen, die manuell in Diligent One hinzugefügt werden.
- Benutzer, die manuell in Diligent One hinzugefügt und nicht mit dem Identitätsanbieter synchronisiert wurden, existieren nur in Diligent One und können nur in Diligent One verwaltet werden.
- Verwalten Sie Benutzeraktualisierungen nicht in Diligent One, wenn der Benutzer bereits mit dem Identitätsanbieter synchronisiert ist. Wenn ein Benutzer, der mit dem Identitätsanbieter synchronisiert ist, in Diligent One bearbeitet wird, werden diese Änderungen durch eine nachfolgende, automatische Synchronisierung durch den Identitätsanbieter überschrieben. Wenn ein Benutzer synchronisiert ist, ist der Identitätsanbieter die einzige vertrauenswürdige Quelle, auf die das Profil standardmäßig zurückgreift. In diesem Fall sollten alle Änderungen beim Identitätsanbieter vorgenommen werden, damit diese an Diligent One übertragen werden.
- Das Risiko ist zwar gering, jedoch kann das Entfernen eines synchronisierten Benutzers aus Diligent One vor dem Entfernen dieses Benutzers beim Identitätsanbieter zu Automatisierungsfehlern in der externen Quelle führen. Wenn dies geschieht, sind möglicherweise manuelle Maßnahmen in der externen Quelle erforderlich, um Diligent One erneut mit dem Identitätsanbieter zu synchronisieren. Wenden Sie sich in diesem Fall zur Unterstützung an den Support.
Beschränkungen
Die externe Benutzerbereitstellung ist auf eine Integration pro Organisation beschränkt.
Externe Benutzerbereitstellung in Diligent One aktivieren
Für die Einrichtung der externen Benutzerbereitstellung sind folgende Schritte erforderlich:
-
Aktivierung der externen Benutzerbereitstellung in der Diligent One-Plattform
-
Einrichtung Ihres Identitätsanbieters
Externe Benutzerbereitstellung in der Diligent One-Plattform aktivieren
Wenn Sie die externe Benutzerbereitstellung in Diligent One aktivieren, wird ein API-Schlüssel generiert, den Sie Ihrem Identitätsanbieter hinzufügen können, um den Einrichtungsprozess abzuschließen.
-
Öffnen Sie die Launchpad-Startseite (www.highbond.com).
Wenn Ihr Unternehmen mehrere Instanzen im Launchpad verwendet, stellen Sie sicher, dass die entsprechende Instanz aktiv ist.
-
Wählen Sie im linken Navigationsbereich Plattform-Einstellungen und anschließend unter Organisations-Management die Option Organisation aus.
-
Wählen Sie auf der angezeigten Seite Benutzerbereitstellung verwalten aus.
Die Seite Benutzerbereitstellung wird geöffnet.
- Wählen Sie auf der Seite Benutzerbereitstellung die Option Erstellen aus.
- Kopieren Sie im anschließend angezeigten Seitenbereich Einrichtungsdetails für die Bereitstellung den generierten API-Schlüssel und die Basis-URL.
- Speichern Sie die Werte an einem sicheren Ort, bevor Sie den Seitenbereich Einrichtungsdetails für die Bereitstellung schließen.
Achtung
Aus Sicherheitsgründen ist dies der einzige Zeitpunkt, zu dem Sie auf den API-Schlüssel zugreifen können. Wenn Sie den API-Schlüssel nicht speichern, ihn verlieren oder vergessen, müssen Sie einen neuen Schlüssel generieren. Weitere Informationen finden Sie unter Token für die externe Benutzerbereitstellung aktualisieren.
- Schließen Sie den Bereich.
Auf der Seite Benutzerbereitstellung werden die Details und die Anzahl der Tage angezeigt, bis der API-Schlüssel abläuft.
HinweisNachdem Sie die externe Benutzerbereitstellung aktiviert haben, haben Sie weiterhin die Möglichkeit, Benutzer manuell hinzuzufügen und zu entfernen, um vorübergehenden Zugriff zwecks Fehlerbehebung und Beratung im Rahmen des Supports zu gewähren. Dies sollte jedoch mit Vorsicht erfolgen, da es zu Synchronisierungsproblemen führen kann. Weitere Informationen finden Sie unter Unterstützung für die hybride Benutzerbereitstellung.
Details Ihres Identitätsanbieters einrichten
Nachdem Sie die externe Benutzerbereitstellung in Diligent One aktiviert haben, müssen Sie sie in Ihrem Identitätsanbieter konfigurieren, um die Einrichtung abzuschließen. Spezifische Anweisungen zur Einrichtung finden Sie in der Dokumentation Ihres Identitätsanbieters, da der Vorgang je nach Anbieter variieren kann.
Während andere Identitätsanbieter, die SCIM 2.0 unterstützen, möglicherweise mit dieser Lösung kompatibel sind, testen und unterstützen wir aktiv die folgenden Identitätsanbieter:
- Microsoft Entra (ehemals Azure Active Directory): Konfiguration der externen Benutzerbereitstellung für Microsoft Entra
- Okta:
- Ping One: Eine SCIM-Verbindung erstellen
- One Login: Eine SCIM-App erstellen (Empfohlenes Schema: SCIM V2.0 – Kernschema)
SCIM-Attributzuordnung
Die folgende Tabelle zeigt, wie die Zuordnung zwischen Diligent One-Attributen und Standard-SCIM-Attributen aussieht.
Kernbenutzerschema
| SCIM-Attributname | Diligent One-Attributname | Erforderlich bei der Benutzererstellung |
|---|---|---|
| userName | Ja | |
| name.givenName | Vorname | Ja |
| name.familyName | Nachname | Ja |
| title | Titel | Nein |
| name.initials | Initialen | Nein |
| phoneNumbers(type work).value | Telefonnummer | Nein |
| phoneNumbers(type extension).value | Nebenstelle | Nein |
| name.middleName | Zweiter Vorname | Nein |
| addresses[type eq "work"].streetAddress | Büroanschrift, Zeile 1 | Nein |
| addresses[type eq "work"].streetAddress2 | Büroanschrift, Zeile 2 | Nein |
| addresses[type eq "work"].locality | Büroanschrift, Stadt | Nein |
| addresses[type eq "work"].region | Büroanschrift, Bundesstaat | Nein |
| addresses[type eq "work"].country | Büroanschrift, Land | Nein |
| addresses[type eq "work"].postalCode | Büroanschrift, Postleitzahl | Nein |
| addresses[type eq "work"].location | Bürostandort | Nein |
| phoneNumbers[type eq "home"].value | Festnetznummer | Nein |
| phoneNumbers(type mobile).value | Mobilfunknummer | Nein |
| phoneNumbers[type eq "mobile"].value | Sekundäre E-Mail | Nein |
Policy Manager-Erweiterung
Es gibt bis zu 13 optionale Felder, die mittels SCIM ausgefüllt werden können, indem ein Attribut eines Benutzers beim Identitätsanbieter dem folgenden SCIM-Attribut zugeordnet wird:
urn:ietf:params:scim:schemas:extension:Diligent:2.0:User:externalField<insert_field_number>Value
Informationen zu ablaufenden Token
Wenn ein Token abläuft, werden die Administratoren 30 Tage, fünf Tage und einen Tag vor Ablauf per E-Mail benachrichtigt. Beim Ablauf des Tokens wird eine letzte E-Mail gesendet. E-Mails werden so lange gesendet, bis der Token gelöscht wird oder abläuft. Wenn er abläuft, schlagen alle abhängigen Prozesse fehl, sofern der Token nicht ersetzt wird.
Token für die externe Benutzerbereitstellung aktualisieren
Ein Token muss aktualisiert werden, wenn er verloren geht, vergessen wird, bald abläuft oder abgelaufen ist. Um Probleme bei der Synchronisierung zu vermeiden, sollten Sie den Vorgang in einer Sitzung abschließen. Stimmen Sie sich mit Ihrer IT-Abteilung oder einem Administrator ab, da der Token, den Sie in der Diligent One-Plattform generieren, auch in Ihrem Identitätsanbieter implementiert werden muss.
Gehen Sie wie folgt vor, um einen Token zu aktualisieren:
-
Öffnen Sie die Launchpad-Startseite (www.highbond.com).
Wenn Ihr Unternehmen mehrere Instanzen im Launchpad verwendet, stellen Sie sicher, dass die entsprechende Instanz aktiv ist.
-
Wählen Sie im linken Navigationsbereich Plattform-Einstellungen und anschließend unter Organisations-Management die Option Organisation aus.
-
Wählen Sie auf der angezeigten Seite Benutzerbereitstellung verwalten aus.
Die Seite Benutzerbereitstellung wird geöffnet.
- Wählen Sie auf der Seite Benutzerbereitstellung neben dem Feld API-Schlüssel die Option Neu generieren aus.
- Kopieren Sie im anschließend angezeigten Seitenbereich Einrichtungsdetails für die Bereitstellung den generierten API-Schlüssel.
- Speichern Sie den Wert an einem sicheren Ort, bevor Sie den Seitenbereich Einrichtungsdetails für die Bereitstellung schließen.
Achtung
Aus Sicherheitsgründen ist dies der einzige Zeitpunkt, zu dem Sie auf den API-Schlüssel zugreifen können.
- Schließen Sie den Bereich.
Auf der Seite Benutzerbereitstellung werden die Details und die Anzahl der Tage angezeigt, bis der API-Schlüssel abläuft.
-
Gehen Sie zu Ihrem Identitätsanbieter und führen Sie die folgenden Schritte aus:
-
Stellen Sie sicher, dass Ihr Identitätsanbieter den neuen Token verwendet.
-
Befolgen Sie die Anweisungen zum Synchronisieren Ihrer Benutzer.
-
-
Löschen Sie in der Diligent One-Plattform auf der Seite Benutzerbereitstellung den Token, der demnächst abläuft.
Externe Benutzerbereitstellung in der Diligent One-Plattform deaktivieren
Das Entfernen der Benutzerbereitstellung hat folgende Auswirkungen:
-
Die vorhandenen API-Schlüssel werden sofort widerrufen.
-
Benutzersynchronisierungen angehalten.
-
Die Benutzerverwaltung ist nur lokal in der Diligent One-Plattform verfügbar.
Um die externe Benutzerbereitstellung zu deaktivieren und Benutzer ausschließlich über Diligent One manuell zu verwalten, müssen Sie zunächst die externe Benutzerbereitstellung in Ihrem Identitätsanbieter deaktivieren. Die Schritte zur Deaktivierung hängen von Ihrem spezifischen Identitätsanbieter ab. Weitere Informationen finden Sie unter Details Ihres Identitätsanbieters einrichten.
Wenn die externe Benutzerbereitstellung in Diligent One deaktiviert ist, ruft Diligent One keine Benutzerdaten mehr von Ihrem Identitätsanbieter ab, der Identitätsanbieter sendet jedoch weiterhin Benutzerdaten wie gewohnt, was zu einem Fehler führt. Um dies zu vermeiden, muss die externe Benutzerbereitstellung beim Identitätsanbieter deaktiviert werden. Dies erfordert möglicherweise eine Absprache mit Ihrer IT-Abteilung oder demjenigen, der über die entsprechenden Berechtigungen bei Ihrem Identitätsanbieter verfügt.
Nachdem Sie die externe Benutzerbereitstellung in Ihrem Identitätsanbieter deaktiviert haben, gehen Sie wie folgt vor:
-
Öffnen Sie die Launchpad-Startseite (www.highbond.com).
Wenn Ihr Unternehmen mehrere Instanzen im Launchpad verwendet, stellen Sie sicher, dass die entsprechende Instanz aktiv ist.
-
Wählen Sie im linken Navigationsbereich Plattform-Einstellungen und anschließend unter Organisations-Management die Option Organisation aus.
-
Wählen Sie auf der angezeigten Seite Benutzerbereitstellung verwalten aus.
Die Seite Benutzerbereitstellung wird geöffnet.
-
Wählen Sie auf der Seite Benutzerbereitstellung die Option Entfernen aus.
-
Überprüfen Sie im anschließend angezeigten Dialogfeld Benutzerbereitstellung entfernen die Auswirkungen des Entfernens der Benutzerbereitstellung und wählen Sie Entfernen aus.
