Configurare il provisioning dell'utente esterno
L'abilitazione del provisioning dell'utente esterno consente la gestione degli utenti automatica da un'unica origine di dati del fornitore d'identità, sfruttando il System for Cross-domain Identity Management (SCIM).
Autorizzazioni
Il provisioning dell'utente esterno deve essere abilitato in Diligent One e configurato in un fornitore d'identità. Per configurare il provisioning dell'utente esterno per un'organizzazione, è necessaria la presenza di una persona con autorizzazioni di Amministratore di sistema in Diligent One e di una persona con autorizzazioni amministrative nel fornitore d'identità. Queste autorizzazioni possono essere detenute da una o più persone che dovranno coordinare la configurazione del provisioning dell'utente esterno. In generale, la configurazione dovrebbe essere eseguita una sola volta e poi il sistema funzionerà da solo.
Requisiti
Diligent One supporta il provisioning dell'utente tramite SCIM 2.0 per abilitare la gestione degli utenti automatica da un'unica origine di dati.
Operazioni supportate
Una volta abilitato il provisioning dell'utente esterno, l'aggiunta o la rimozione di utenti da un'organizzazione e l'aggiornamento dei profili utente vengono automaticamente inviati a Diligent One da un fornitore d'identità.
Per il futuro è previsto il supporto per le seguenti operazioni: assegnazione di gruppo e gestione di gruppo (aggiunta ed eliminazione).
Quando si abilita il provisioning dell'utente esterno, non viene rimossa la capacità di aggiungere manualmente e gestire gli utenti direttamente in Diligent One. Abilitando il provisioning dell'utente esterno, si ampliano le opzioni di gestione dell'utente e si possono utilizzare entrambi in una soluzione ibrida.
Per una maggior chiarezza, gli utenti aggiunti esclusivamente in Diligent One, che non sono sincronizzati con il fornitore d'identità, possono essere gestiti solo in Diligent One. Gli utenti sincronizzati da un fornitore d'identità devono essere gestiti solo nel fornitore d'identità. Se vengono apportate modifiche agli utenti sincronizzati in Diligent One, tali modifiche verranno sovrascritte nella sincronizzazione successiva. Consultare il Supporto per il provisioning dell'utente ibrido.
Supporto per il provisioning dell'utente ibrido
Idealmente, il fornitore d'identità dovrebbe operare come origine unica per tutti gli utenti per semplificare e automatizzare la gestione degli utenti. Tuttavia, potrebbero esserci scenari in cui una soluzione ibrida è il modo migliore per gestire gli utenti nel sistema. Per esempio, potrebbe non essere necessario aggiungere utenti a un fornitore d'identità se tali utenti hanno bisogno solo di un accesso temporaneo per propositi di risoluzione dei problemi o di consulenza.
In una soluzione ibrida, gli utenti aggiunti esclusivamente in Diligent One, che non sono sincronizzati con il fornitore d'identità, possono essere gestiti solo in Diligent One. Gli utenti sincronizzati da un fornitore d'identità devono essere gestiti solo nel fornitore d'identità.
Importante
Le informazioni che seguono hanno lo scopo di far conoscere i potenziali problemi che possono derivare da una soluzione ibrida, in modo che si possa fare la scelta migliore per l'organizzazione ed evitare queste issue:
- Attualmente, in Diligent One, non c'è una distinzione visiva tra gli utenti gestiti tramite il fornitore d'identità e quelli aggiunti manualmente in Diligent One.
- Gli utenti aggiunti manualmente in Diligent One e non sincronizzati con il fornitore d'identità esistono solo in Diligent One e possono essere gestiti solo in Diligent One.
- Non gestire gli aggiornamenti degli utenti in Diligent One se l'utente è già sincronizzato dal fornitore d'identità. Se un utente sincronizzato con il fornitore d'identità viene modificato in Diligent One, tali modifiche saranno sovrascritte da una successiva sincronizzazione automatica dal fornitore d'identità. Se un utente viene sincronizzato, il fornitore d'identità è l'unica origine affidabile a cui il profilo si affida per impostazione predefinita. In questo caso, le modifiche devono essere apportate nel fornitore d'identità, in modo che vengano trasferite a Diligent One.
- Sebbene il rischio sia basso, la rimozione di un utente sincronizzato da Diligent One prima che l'utente stesso venga rimosso dal fornitore d'identità potrebbe causare errori di automazione nell'origine esterna. Se ciò accade, potrebbe essere necessaria un'azione manuale nell'origine esterna per risincronizzare Diligent One con il fornitore d'identità. In tal caso, contattare il team di supporto per ricevere assistenza.
Limitazioni
Il provisioning dell'utente esterno è limitato a un'integrazione per organizzazione.
Abilitare il provisioning dell'utente esterno in Diligent One
L'impostazione del provisioning dell'utente esterno richiede quanto segue:
-
Abilitazione del provisioning dell'utente esterno nella Piattaforma Diligent One.
-
Configurazione dei dettagli del fornitore d'identità.
Abilitazione del provisioning dell'utente esterno nella Piattaforma Diligent One
Quando si abilita il provisioning dell'utente esterno in Diligent One, viene generata una chiave API da aggiungere al fornitore d'identità per completare il processo di configurazione.
-
Aprire la home page di Launchpad (www.highbond.com).
Se l'azienda utilizza più di un'istanza su Launchpad, assicurarsi che quella appropriata sia attiva.
-
Nella navigazione a sinistra, selezionare Impostazioni piattaforma e in Gestione organizzazione, selezionare Organizzazione.
-
Nella pagina visualizzata, selezionare Gestisci il provisioning dell'utente.
Viene visualizzata la pagina Provisioning dell'utente.
- Alla pagina Provisioning dell'utente, selezionare Crea.
- Nel pannello laterale Dettagli di configurazione del provisioning che viene visualizzato, copiare la chiave API generata e l'URL di base.
- Salvare i valori in un luogo sicuro prima di chiudere il pannello laterale Dettagli di configurazione del provisioning.
Attenzione
Per motivi di sicurezza, questo è l'unico momento in cui è possibile accedere alla chiave API. Se la chiave API non viene salvata o viene persa o dimenticata, è necessario generarne una nuova. Per maggiori informazioni, consultare Aggiornare i token per il provisioning dell'utente esterno.
- Chiudere il pannello.
La pagina Provisioning dell'utente riporta i dettagli e i giorni che mancano alla scadenza della chiave API.
NotaDopo aver abilitato il provisioning dell'utente esterno è ancora possibile aggiungere e rimuovere manualmente gli utenti per garantire l'accesso a breve termine per scenari quali l'assistenza per la risoluzione dei problemi e la consulenza. Tuttavia, questa operazione deve essere eseguita con cautela poiché potrebbe causare problemi di sincronizzazione. Per maggiori informazioni, consultare il Supporto per il provisioning dell'utente ibrido.
Configurare i dettagli del fornitore d'identità
Dopo aver abilitato il provisioning dell'utente esterno in Diligent One, per completare la configurazione è necessario configurarlo nel fornitore d'identità. Per istruzioni specifiche sulla configurazione, consultare la documentazione del fornitore d'identità, poiché la procedura può variare a seconda del fornitore.
Anche se vi sono altri fornitori d'identità che supportano SCIM 2.0 e potenzialmente compatibili con questa soluzione, noi testiamo e supportiamo attivamente i seguenti fornitori d'identità:
- Microsoft Entra (in precedenza Azure Active Directory): Configurare il provisioning dell'utente esterno per Microsoft Entra
- Okta:
- Ping One: creare una connessione SCIM
- One Login: creare un'applicazione SCIM (schema consigliato: SCIM V2.0 - Schema di base)
Mappatura degli attributi SCIM
La tabella seguente mostra come gli attributi Diligent One si associano agli attributi SCIM standard.
Schema utente Core
| Nome attributo SCIM | Nome attributo Diligent One | Obbligatorio al momento della creazione dell'utente |
|---|---|---|
| nomeUtente | Sì | |
| name.givenName | Nome | Sì |
| name.familyName | Cognome | Sì |
| title | Titolo | No |
| name.initials | Iniziali | No |
| phoneNumbers(type work).value | Numero di telefono | No |
| phoneNumbers(type extension).value | Estensione del telefono | No |
| name.middleName | Secondo nome | No |
| addresses[type eq "work"].streetAddress | Indirizzo dell'ufficio riga 1 | No |
| addresses[type eq "work"].streetAddress2 | Indirizzo dell'ufficio riga 2 | No |
| addresses[type eq "work"].locality | Città dell'indirizzo dell'ufficio | No |
| addresses[type eq "work"].region | Regione dell'indirizzo dell'ufficio | No |
| addresses[type eq "work"].country | Nazione dell'indirizzo dell'ufficio | No |
| addresses[type eq "work"].postalCode | Codice postale dell'indirizzo dell'ufficio | No |
| addresses[type eq "work"].location | Sede dell'ufficio | No |
| phoneNumbers[type eq "home"].value | Telefono fisso | No |
| phoneNumbers(type mobile).value | Telefono cellulare | No |
| phoneNumbers[type eq "mobile"].value | E-mail secondaria | No |
Estensione del Policy Manager
Ci sono fino a 13 campi opzionali che possono essere popolati tramite SCIM associando un attributo di un utente nel fornitore d'identità al seguente attributo SCIM:
urn:ietf:params:scim:schemas:extension:Diligent:2.0:User:externalField<insert_field_number>Value
Affrontare i token in scadenza
Quando un token sta per scadere, gli amministratori ricevono e-mail di preavviso a 30 giorni, cinque giorni e un giorno. Alla scadenza viene inviata un'ultima e-mail. Le e-mail continueranno fino a quando il token non sarà eliminato o scadrà. Alla scadenza, tutti i processi dipendenti cessano di funzionare, a meno che non vengano sostituiti.
Aggiornare i token per il provisioning dell'utente esterno
Se un token viene perso o dimenticato oppure se si sta avvicinando alla scadenza, può essere necessario aggiornarlo. Per evitare problemi di sincronizzazione, assicurarsi di completare la procedura in un'unica operazione. Coordinarsi con il dipartimento IT o con un amministratore, poiché il token generato nella Piattaforma Diligent One deve essere implementato anche nel fornitore d'identità.
Per aggiornare un token, procedere come segue:
-
Aprire la home page di Launchpad (www.highbond.com).
Se l'azienda utilizza più di un'istanza su Launchpad, assicurarsi che quella appropriata sia attiva.
-
Nella navigazione a sinistra, selezionare Impostazioni piattaforma e in Gestione organizzazione, selezionare Organizzazione.
-
Nella pagina visualizzata, selezionare Gestisci il provisioning dell'utente.
Viene visualizzata la pagina Provisioning dell'utente.
- Nella pagina Provisioning dell'utente, accanto al campo Chiave API, selezionare Genera nuova.
- Nel pannello laterale Dettagli di configurazione del provisioning che viene visualizzato, copiare la chiave API generata.
- Salvare il valore in un luogo sicuro prima di chiudere il pannello laterale Dettagli di configurazione del provisioning.
Attenzione
Per motivi di sicurezza, questo è l'unico momento in cui è possibile accedere alla chiave API.
- Chiudere il pannello.
La pagina Provisioning dell'utente riporta i dettagli e i giorni che mancano alla scadenza della chiave API.
-
Andare al fornitore d'identità e procedere come segue:
-
Assicurarsi che il fornitore d'identità stia utilizzando il nuovo token.
-
Seguire le sue istruzioni per mantenere gli utenti sincronizzati.
-
-
Nella Piattaforma Diligent One, nella pagina Provisioning dell'utente, eliminare il token che sta per scadere.
Disabilitazione del provisioning dell'utente esterno nella Piattaforma Diligent One
La rimozione del provisioning dell'utente produce i seguenti effetti:
-
Le chiavi API esistenti vengono revocate istantaneamente.
-
Le sincronizzazioni degli utenti si interrompono.
-
La gestione degli utenti è disponibile solo a livello locale nella Piattaforma Diligent One.
Per disabilitare il provisioning dell'utente esterno e gestire manualmente gli utenti unicamente tramite Diligent One, è necessario innanzitutto disabilitare il provisioning dell'utente esterno nel fornitore d'identità. Le modalità di disabilitazione dipendono dal fornitore d'identità specifico. Per maggiori informazioni, consultare Configurare i dettagli del fornitore d'identità.
Quando il provisioning dell'utente esterno in Diligent One è stato disabilitato, questo non riceve più i dati degli utenti dal fornitore d'identità, ma il fornitore di identità a sua volta continuerà a inviare i dati degli utenti come di consueto, causando un errore. Per evitarlo, occorre disabilitare il provisioning dell'utente esterno dal fornitore d'identità. Potrebbe essere necessario coordinarsi con il dipartimento IT o con chiunque abbia le autorizzazioni appropriate per il fornitore d'identità.
Dopo aver disabilitato il provisioning dell'utente esterno nel fornitore d'identità, procedere come segue:
-
Aprire la home page di Launchpad (www.highbond.com).
Se l'azienda utilizza più di un'istanza su Launchpad, assicurarsi che quella appropriata sia attiva.
-
Nella navigazione a sinistra, selezionare Impostazioni piattaforma e in Gestione organizzazione, selezionare Organizzazione.
-
Nella pagina visualizzata, selezionare Gestisci il provisioning dell'utente.
Viene visualizzata la pagina Provisioning dell'utente.
-
Alla pagina Provisioning dell'utente, selezionare Rimuovi.
-
Nella finestra di dialogo Rimuovi provisioning dell'utente che viene visualizzata, esaminare gli effetti della rimozione e selezionare Rimuovi.
