Het instellen van externe gebruikersprovisionering
U kunt externe gebruikersprovisioning inschakelen om automatisch gebruikersbeheer mogelijk te maken vanuit een identiteitsprovider-databron door gebruik te maken van het systeem voor Cross-domain Identity Management (SCIM).
Machtigingen
Externe gebruikersprovisioning moet worden ingeschakeld in Diligent One en worden ingesteld in een identity provider. Om externe gebruikersprovisioning voor een organisatie in te stellen, is iemand met systeembeheerdersrechten in Diligent One en iemand met administratieve rechten in de identity provider vereist. Deze rechten kunnen in handen zijn van één persoon of van meerdere personen die het instellen van de externe gebruikersprovisioning moeten coördineren. In principe hoeft dit maar één keer opgezet te worden, en daarna draait het systeem zelfstandig.
Voorwaarden
Diligent One biedt ondersteuning voor gebruikersprovisioning via SCIM 2.0 om automatisch gebruikersbeheer vanuit een enkele databron in te schakelen.
Ondersteunde acties
Zodra externe gebruikersprovisioning is ingeschakeld, worden het toevoegen of verwijderen van gebruikers uit een organisatie en het bijwerken van gebruikersprofielen automatisch naar Diligent One gepusht vanuit een identity provider.
In de toekomst is support gepland voor de volgende bewerkingen: groepstoewijzing en groepsbeheer (toevoegen en verwijderen).
Wanneer u externe gebruikersprovisioning inschakelt, wordt de mogelijkheid om gebruikers handmatig toe te voegen en direct in Diligent One te beheren niet verwijderd. Door externe gebruikersprovisioning in te schakelen, breidt u uw opties voor gebruikersbeheer uit en kunt u beide in een hybride oplossing gebruiken.
Ter verduidelijking: gebruikers die uitsluitend in Diligent One zijn toegevoegd en niet zijn gesynchroniseerd met de identity provider, kunnen alleen in Diligent One worden beheerd. Gebruikers die vanuit een identity provider gesynchroniseerd worden, mogen alleen in de identity provider beheerd worden. Als er wijzigingen worden aangebracht aan gesynchroniseerde gebruikers in Diligent One, worden de wijzigingen bij de volgende synchronisatie overschreven. Zie Support voor hybride gebruikersprovisionering.
Support voor hybride gebruikersprovisionering
In het ideale geval dient de identity provider als de enige bron voor alle gebruikers om het gebruikersbeheer te stroomlijnen en te automatiseren. Er kunnen echter nog steeds scenario's zijn waarbij een hybride oplossing de beste manier is om gebruikers in uw systeem te beheren. U hoeft bijvoorbeeld misschien geen gebruikers aan een identity provider toe te voegen als die gebruikers alleen tijdelijk toegang nodig hebben voor het oplossen van problemen of voor advies.
In een hybride oplossing, kunnen gebruikers die uitsluitend in Diligent One zijn toegevoegd en niet zijn gesynchroniseerd met de identity provider, alleen in Diligent One worden beheerd. Gebruikers die vanuit een identity provider gesynchroniseerd worden, mogen alleen in de identity provider beheerd worden.
Belangrijk
De volgende informatie is bedoeld om u bewust te maken van mogelijke problemen die kunnen voortvloeien uit een hybride oplossing, zodat u de beste keuze voor uw organisatie kunt maken en deze problemen kunt vermijden:
- Op dit moment is er in Diligent One geen visueel onderscheid tussen gebruikers die via de identity provider worden beheerd en gebruikers die handmatig in Diligent One worden toegevoegd.
- Gebruikers die handmatig in Diligent One zijn toegevoegd en niet zijn gesynchroniseerd met de identity provider, bestaan alleen in Diligent One en kunnen alleen in Diligent One worden beheerd.
- Beheer gebruikersupdates niet in Diligent One als de gebruiker al gesynchroniseerd is vanuit de identity provider. Als een gebruiker die is gesynchroniseerd met de identiteitsaanbieder wordt bewerkt in Diligent One, worden deze bewerkingen overschreven door een volgende, automatische synchronisatie van de identiteitsaanbieder. Als een gebruiker gesynchroniseerd wordt, is de identity provider de enige, vertrouwde bron waar het profiel standaard naar zal verwijzen. In dit geval moeten alle wijzigingen in de identity provider worden doorgevoerd, zodat ze naar Diligent One worden gepusht.
- Ondanks dat het risico klein is, kan het verwijderen van een gesynchroniseerde gebruiker uit Diligent One, voordat deze uit de identity provider is verwijderd, leiden tot fouten in de automatisering van de externe bron. Mocht dit voorkomen, dan kan handmatige interventie nodig zijn in de externe bron om de synchronisatie tussen Diligent One en de identity provider te herstellen. Als dit gebeurt, neem dan contact op met support voor hulp.
Beperkingen
Externe gebruikersprovisionering is beperkt tot één integratie per organisatie.
Schakel externe gebruikersprovisionering in in Diligent One
Voor het instellen van externe gebruikersvoorziening is het volgende vereist:
-
Het inschakelen van externe gebruikersprovisionering in Diligent One Platform.
-
Uw identity provider instellen.
Het inschakelen van externe gebruikersprovisionering in Diligent One Platform
Door externe gebruikersprovisionering in Diligent One in te schakelen, wordt een APIkey gegenereerd die u kunt toevoegen aan uw identity provider om het instelproces te voltooien.
-
Selecteer vanaf de startpagina van Launchpad (www.highbond.com).
Als uw bedrijf meer dan één exemplaar gebruikt in Launchpad, zorg er dan voor dat het juiste exemplaar actief is.
-
Selecteer in het navigatiemenu aan de linkerkant Platforminstellingen en selecteer vervolgens onder Organisatiebeheer de optie Organisatie.
-
Selecteer op de pagina die verschijnt Gebruikersprovisionering beheren.
Dit opent de pagina Gebruikersprovisionering.
- Selecteer op de pagina Gebruikersprovisionering de optie Maken.
- Kopieer de gegenereerde API-sleutel en basis-URL uit het zijpaneel met de Instellingen voor provisionering.
- Sla de waarden op een veilige plaats op voordat u het zijpaneel Provisionering-instellingen sluit.
Let op
Om veiligheidsredenen is dit de enige keer dat u toegang krijgt tot de API-sleutel. Als u de API-sleutel niet opslaat, kwijtraakt of vergeet, moet u een nieuwe genereren. Raadpleeg Tokens vernieuwen voor externe gebruikersprovisionering voor meer informatie.
- Sluit het venster.
Op de pagina Gebruikersprovisionering worden de details en het aantal dagen tot het verstrijken van de API-sleutel weergegeven.
OpmerkingZodra u de externe gebruikersprovisionering inschakelt, hebt u nog steeds de optie om gebruikers handmatig toe te voegen en te verwijderen om kortstondige toegang te verlenen voor scenario's zoals probleemoplossing en advies. Dit dient echter met de nodige voorzichtigheid te gebeuren, aangezien dit synchronisatieproblemen kan veroorzaken. Raadpleeg Ondersteuning voor hybride gebruikersprovisionering voor meer informatie.
De details van uw identity provider instellen
Nadat u externe gebruikersprovisionering in Diligent One hebt ingeschakeld, moet u dit in uw identiteitsprovider configureren om de installatie te voltooien. Raadpleeg de documentatie van uw identiteitsprovider voor specifieke installatie-instructies, aangezien het proces kan verschillen per provider.
Hoewel andere identiteitsproviders die SCIM 2.0 ondersteunen mogelijk compatibel zijn met deze oplossing, testen en ondersteunen wij actief de volgende identiteitsproviders:
- Microsoft Entra (voorheen Azure Active Directory): Externe gebruikersprovisionering configureren voor Microsoft Entra
- Okta:
- Ping One: Een SCIM-verbinding tot stand brengen
- Eén login: Een SCIM-app maken (Aanbevolen schema: SCIM V2.0 - Kernschema)
SCIM-attribuutmapping
De volgende tabel laat zien hoe Diligent One-attributen overeenkomen met standaard SCIM-attributen.
Schema kerngebruiker
| SCIM Attribuutnaam | Diligent One-attribuutnaam | Verplicht bij aanmaken gebruiker |
|---|---|---|
| userName | Ja | |
| name.givenName | Voornaam | Ja |
| name.familyName | Achternaam | Ja |
| Titel | Titel | Nee |
| name.initials | Initialen | Nee |
| phoneNumbers(type work).value | Telefoonnummer | Nee |
| phoneNumbers(type work).value | Telefooncode | Nee |
| name.middleName | Tussennaam | Nee |
| addresses[type eq "work"].streetAddress | Adreslijn 1 kantoor | Nee |
| addresses[type eq "work"].streetAddress2 | Adreslijn 2 kantoor | Nee |
| addresses[type eq "work"].locality | Stad van kantoor | Nee |
| addresses[type eq "work"].region | Staat van kantoor | Nee |
| addresses[type eq "work"].country | Land van kantoor | Nee |
| addresses[type eq "work"].postalCode | Postcode van kantoor | Nee |
| addresses[type eq "work"].location | Plaats van kantoor | Nee |
| phoneNumbers[type eq "home"].value | Telefoonnummer | Nee |
| phoneNumbers(type mobile).value | Mobiele telefoon | Nee |
| phoneNumbers[type eq "mobile"].value | Tweede e-mail | Nee |
Uitbreiding beleidsbeheerder
Er zijn maximaal 13 optionele velden die via SCIM kunnen worden ingevuld door een attribuut van een gebruiker in de identiteitsaanbieder aan het volgende SCIM-attribuut toe te wijzen:
urn:ietf:params:scim:schemas:extension:Diligent:2.0:User:externalField<insert_field_number>Waarde
Vervallende tokens aanpakken
Wanneer een token bijna verloopt, ontvangen de beheerders 30 dagen, vijf dagen en één dag van tevoren een e-mail. Bij het verstrijken van de termijn wordt een laatste e-mail verzonden. E-mails worden verzonden totdat de token wordt verwijderd of verloopt. Wanneer deze verloopt, mislukken alle afhankelijke processen, tenzij ze worden vervangen.
Tokens voor externe gebruikersprovisionering verversen
Een token moet worden vernieuwd als deze verloren is gegaan, vergeten is, bijna verloopt of is verlopen. Om synchronisatieproblemen te voorkomen, moet u ervoor zorgen dat u het proces in één keer voltooit. Neem contact op met uw IT-afdeling of een beheerder, aangezien de token die u in Diligent One Platform genereert ook moet worden geïmplementeerd in uw identiteitsprovider.
Om een token te verversen volgt u deze stappen:
-
Selecteer vanaf de startpagina van Launchpad (www.highbond.com).
Als uw bedrijf meer dan één exemplaar gebruikt in Launchpad, zorg er dan voor dat het juiste exemplaar actief is.
-
Selecteer in het navigatiemenu aan de linkerkant Platforminstellingen en selecteer vervolgens onder Organisatiebeheer de optie Organisatie.
-
Selecteer op de pagina die verschijnt Gebruikersprovisionering beheren.
Dit opent de pagina Gebruikersprovisionering.
- Selecteer op de pagina Gebruikersprovisionering naast het veld API-sleutel de optie Nieuwe genereren.
- Kopieer de gegenereerde API-sleutel uit het zijpaneel met de Instellingen voor provisionering.
- Sla de waarden op een veilige plaats op voordat u het zijpaneel Provisionering-instellingen sluit.
Let op
Om veiligheidsredenen is dit de enige keer dat u toegang krijgt tot de API-sleutel.
- Sluit het venster.
Op de pagina Gebruikersprovisionering worden de details en het aantal dagen tot het verstrijken van de API-sleutel weergegeven.
-
Ga naar uw identiteitsprovider en voer het volgende uit:
-
Controleer of uw identiteitsprovider de nieuwe token gebruikt.
-
Volg hun instructies om uw gebruikers gesynchroniseerd te houden.
-
-
Verwijder op het Diligent One-platform, op de pagina Gebruikersprovisionering, de token die bijna verloopt.
Schakel externe gebruikersprovisionering uit in Diligent One Platform
Het verwijderen van gebruikersprovisionering heeft de volgende gevolgen:
-
De bestaande API-sleutels worden onmiddellijk ingetrokken.
-
De gebruikersynchronisatie stopt.
-
Het gebruikersbeheer is alleen lokaal beschikbaar in Diligent One Platform.
Om externe gebruikersprovisionering uit te schakelen zodat gebruikers uitsluitend handmatig via Diligent One kunnen worden beheerd, moet u eerst externe gebruikersprovisionering uitschakelen in uw identiteitsprovider. Hoe u dit uitschakelt, is afhankelijk van uw specifieke identiteitsprovider. Raadpleeg voor meer informatie Uw identiteitsprovidergegevens instellen.
Zodra externe gebruikersprovisionering is uitgeschakeld in Diligent One, ontvangt het niet langer gebruikersgegevens van uw identiteitsprovider, maar de identiteitsprovider verstuurt nog steeds gebruikersgegevens zoals normaal, waardoor het mislukt. Om dit te voorkomen, schakelt u externe gebruikersprovisionering van de identity provider uit Dit kan coördinatie vereisen met uw IT-afdeling of degene die de juiste machtigingen heeft voor uw identiteitsprovider.
Nadat u externe gebruikersprovisionering in uw identiteitsprovider hebt uitgeschakeld, gaat u als volgt te werk:
-
Selecteer vanaf de startpagina van Launchpad (www.highbond.com).
Als uw bedrijf meer dan één exemplaar gebruikt in Launchpad, zorg er dan voor dat het juiste exemplaar actief is.
-
Selecteer in het navigatiemenu aan de linkerkant Platforminstellingen en selecteer vervolgens onder Organisatiebeheer de optie Organisatie.
-
Selecteer op de pagina die verschijnt Gebruikersprovisionering beheren.
Dit opent de pagina Gebruikersprovisionering.
-
Selecteer op de pagina Gebruikersprovisionering de optie Verwijderen.
-
Controleer in het dialoogvenster Gebruikersprovisionering verwijderen dat wordt weergegeven de gevolgen van het verwijderen van gebruikersprovisionering en selecteer Verwijderen.
