Configurar provisionamento externo de usuários
Quando o provisionamento externo de usuários é habilitado, é possível gerenciar automaticamente usuários em uma origem de dados de provedor de identidade ao usar o Sistema de Gerenciamento de Usuários entre Domínios (SCIM).
Permissões
O provisionamento externo de usuários precisa ser habilitado no Diligent One e configurado em um provedor de identidade. Para configurar esse tipo de provisionamento para uma organização, é necessário ter uma pessoa com permissões de Administrador de Sistema no Diligent One e uma pessoa com permissões administrativas no provedor de identidade. Uma ou várias pessoas podem ter essas permissões, e elas precisarão coordenar a configuração do provisionamento externo de usuários. Em geral, a configuração ocorre apenas uma vez, e depois o sistema opera por conta própria.
Requisitos
O Diligent One é compatível com o provisionamento de usuários via SCIM 2.0 para permitir o gerenciamento automático de usuários em uma única origem de dados.
Operações aceitas
Depois que o provisionamento externo de usuários é habilitado, a inclusão ou a remoção de usuários de uma organização e a atualização dos perfis de usuário são enviadas automaticamente de um provedor de identidade para o Diligent One.
No futuro, existem planos para oferecer suporte às seguintes operações: atribuição de grupo e gerenciamento de grupo (adicionar e excluir).
Quando você habilita o provisionamento externo de usuários, isso não remove a capacidade de adicionar manualmente usuários direto no Diligent One. Ao fazer isso, você está aumentando suas opções de gerenciamento de usuário e pode usar as duas possibilidades em uma solução híbrida.
Os usuários adicionados exclusivamente no Diligent One, que não estão sincronizados com o provedor de identidade, só podem ser gerenciados no Diligent One. Os usuários sincronizados de um provedor de identidade devem ser gerenciados apenas no provedor de identidade. Se os usuários sincronizados forem modificados no Diligent One, as alterações serão sobrescritas na próxima sincronização. Consulte Suporte para provisionamento híbrido de usuários.
Suporte para provisionamento híbrido de usuários
Idealmente, o provedor de identidade seria a única origem para todos os usuários, a fim de agilizar e automatizar o gerenciamento. No entanto, ainda podem existir cenários em que uma solução híbrida é a melhor forma de gerenciar os usuários no seu sistema. Por exemplo, talvez você não precise adicionar usuários a um provedor de identidade se for necessário apenas acesso temporário para fins de solução de problemas ou consultoria.
Em uma solução híbrida, os usuários adicionados exclusivamente no Diligent One, que não estão sincronizados com o provedor de identidade, só podem ser gerenciados no Diligent One. Os usuários sincronizados de um provedor de identidade devem ser gerenciados apenas no provedor de identidade.
Importante
O objetivo das informações a seguir é alertar sobre os problemas que podem surgir com o uso da solução híbrida para que você possa tomar a melhor decisão para sua organização e evitar esses problemas:
- Atualmente, no Diligent One, não há distinção visual entre os usuários gerenciados pelo provedor de identidade e os usuários adicionados manualmente no Diligent One.
- Os usuários que foram adicionados manualmente no Diligent One e que não estão sincronizados com o provedor de identidade existem apenas no Diligent One e só podem ser gerenciados na plataforma.
- Não gerencie atualizações de usuário no Diligent One se o usuário já estiver sincronizado com o provedor de identidade. Se um usuário sincronizado com o provedor de identidade for editado no Diligent One, essas edições serão sobrescritas por uma futura sincronização automatizada do provedor de identidade. Se um usuário for sincronizado, o provedor de identidade será a única origem confiável que o perfil usará como base. Nesse caso, todas as alterações devem ser feitas no provedor de identidade para que sejam enviadas ao Diligent One.
- Embora o risco seja baixo, remover um usuário sincronizado do Diligent One antes de removê-lo do provedor de identidade pode resultar em falhas de automação na origem externa. Se isso acontecer, poderá ser necessária uma ação manual na origem externa para sincronizar novamente o Diligent One com o provedor de identidade. Entre em contato com o Suporte para obter ajuda se isso acontecer.
Limitações
O provisionamento externo de usuários está limitado a uma integração por organização.
Habilitar o provisionamento externo de usuários no Diligent One
A configuração de provisionamento de usuário externo requer o seguinte:
-
Habilitar o provisionamento de usuário externo na Plataforma Diligent One.
-
Configurar o seu provedor de identidade.
Habilitar o provisionamento de usuário externo na Plataforma Diligent One
Quando o provisionamento externo de usuários é habilitado no Diligent One, uma chave de API é gerada para adicionar ao seu provedor de identidade para realizar o processo de configuração.
-
Abra a página inicial do Launchpad (www.highbond.com).
Se a sua empresa usa mais de uma instância no Launchpad, verifique se a instância apropriada está ativa.
-
No painel esquerdo, selecione Configurações da Plataforma e em Gerenciamento da organização, selecione Organização.
-
Na página que é exibida, selecione Gerenciar provisionamento de usuários.
A página Provisionamento de usuários é exibida.
- Na página Provisionamento de usuário, selecione Criar.
- No painel lateral Detalhes de configuração do provisionamento que é exibido, copie a chave de API e o URL base que foram gerados.
- Salve os valores em um lugar seguro antes de fechar o painel lateral Detalhes de configuração do provisionamento.
Cuidado
Por motivos de segurança, esta é a única vez em que você terá acesso a chave de API. Caso você não salve a chave de API, a perca ou a esqueça, você deverá gerar uma nova. Para obter mais informações, consulte Atualizar tokens para o provisionamento de usuário externo.
- Feche o painel.
A página Provisionamento de usuário exibe os detalhes e o número de dias até a expiração da chave de API.
ObservaçãoDepois de habilitar o provisionamento de usuário externo, você ainda poderá adicionar e remover usuários manualmente para conceder acesso temporário para casos como solução de problemas e consultoria. No entanto, isto deve ser feito com cautela, pois podem ocorrer problemas de sincronização. Para obter mais informações, consulte Suporte para provisionamento híbrido de usuários.
Configurar os detalhes do provedor de identidade
Depois de habilitar o provisionamento de usuário externo na Diligent One, você deve configurá-lo no seu provedor de identidade para concluir a configuração. Consulte a documentação do seu provedor de identidade para obter instruções de configuração específicas, uma vez que o processo pode variar dependendo do provedor.
Enquanto outros provedores de identidade que aceitam SCIM 2.0 podem ser compatíveis com essa solução, nós sempre executamos testes e aceitamos os seguintes provedores de identidade:
- Microsoft Entra (anteriormente Azure Active Directory): Configurar o provisionamento externo de usuários para o Microsoft Entra
- Okta:
- Ping One: Criando uma conexão SCIM
- Um Logon: Crie um aplicativo SCIM (Esquema recomendado: SCIM V2.0 - Esquema principal)
Mapeamento de atributos do SCIM
A tabela a seguir demonstra como os atributos do Diligent One são mapeados para os atributos padrão do SCIM.
Esquema principal de usuário
| Nome do atributo do SCIM | Nome do atributo do Diligent One | Obrigatório na criação do usuário |
|---|---|---|
| userName | Sim | |
| name.givenName | Nome | Sim |
| name.familyName | Sobrenome | Sim |
| title | Título | Não |
| name.initials | Iniciais | Não |
| phoneNumbers(type work).value | Número de Telefone | Não |
| phoneNumbers(type extension).value | Ramal | Não |
| name.middleName | Nome do meio | Não |
| addresses[type eq "work"].streetAddress | Endereço comercial linha 1 | Não |
| addresses[type eq "work"].streetAddress2 | Endereço comercial linha 2 | Não |
| addresses[type eq "work"].locality | Cidade do endereço comercial | Não |
| addresses[type eq "work"].region | Estado do endereço comercial | Não |
| addresses[type eq "work"].country | País do endereço comercial | Não |
| addresses[type eq "work"].postalCode | CEP do endereço comercial | Não |
| addresses[type eq "work"].location | Local da empresa | Não |
| phoneNumbers[type eq "home"].value | Telefone residencial | Não |
| phoneNumbers(type mobile).value | Celular | Não |
| phoneNumbers[type eq "mobile"].value | E-mail secundário | Não |
Extensão do Policy Manager
Até 13 campos opcionais podem ser preenchidos por meio do SCIM mapeando um atributo de um usuário no provedor de identidade para o seguinte atributo do SCIM:
urn:ietf:params:scim:schemas:extension:Diligent:2.0:User:externalField<insert_field_number>Value
Lidar com tokens que estão expirando
Quando um token está prestes a expirar, os administradores recebem e-mails com 30 dias, cinco dias e um dia de antecedência. Um e-mail final é enviado após a expiração. Os e-mails continuam a ser enviados até que o token seja excluído ou expire. Quando ele expira, todos os processos dependentes falham, a menos que seja substituído.
Atualizar tokens para o provisionamento externo de usuários
Um token precisa ser atualizado em caso de perda, esquecimento, proximidade da data de expiração ou expirado. Para evitar problemas de sincronização, garanta a conclusão do processo em uma só vez. Coordene com o seu departamento de TI ou um administrador, já que o token que você gera na Plataforma Diligent One também deve ser implementado no seu provedor de identidade.
Para atualizar um token, siga estas etapas:
-
Abra a página inicial do Launchpad (www.highbond.com).
Se a sua empresa usa mais de uma instância no Launchpad, verifique se a instância apropriada está ativa.
-
No painel esquerdo, selecione Configurações da Plataforma e em Gerenciamento da organização, selecione Organização.
-
Na página que é exibida, selecione Gerenciar provisionamento de usuários.
A página Provisionamento de usuários é exibida.
- Na página Provisionamento de usuário, ao lado do campo chave de API, selecione Gerar nova.
- No painel lateral Detalhes de configuração do provisionamento que é exibido, copie a chave de API que foi gerada.
- Salve o valor em um lugar seguro antes de fechar o painel lateral Detalhes de configuração do provisionamento.
Cuidado
Por motivos de segurança, esta é a única vez em que você terá acesso a chave de API.
- Feche o painel.
A página Provisionamento de usuário exibe os detalhes e o número de dias até a expiração da chave de API.
-
Vá para o seu provedor de identidade e faça o seguinte:
-
Garanta que o seu provedor de identidade esteja usando o novo token.
-
Siga as instruções para manter seus usuários sincronizados.
-
-
Na Plataforma Diligent One, na página Provisionamento de usuário, exclua o token que está perto de expirar.
Desabilite o provisionamento de usuário externo na Plataforma Diligent One
Os efeitos de remover o provisionamento de usuários são os seguintes:
-
As chaves API existentes são revogadas instantaneamente.
-
A sincronização do usuário é interrompida.
-
O gerenciamento de usuário só está disponível localmente na Plataforma Diligent One.
Para desabilitar o provisionamento de usuário externo e gerenciar manualmente os usuários somente pela Diligent One, você deve primeiro desabilitar o provisionamento de usuários externo no seu provedor de identidade. A forma de desabilitar depende do seu provedor de identidade específico. Para obter mais informações, consulte Configurar os detalhes do provedor de identidade.
Quando o provisionamento de usuário externo é desabilitado na Diligent One, a plataforma não obtém mais dados de usuários do provedor de identidade, mas ele ainda envia esses dados normalmente, o que causa erros. Para evitar isso, o provisionamento externo de usuários precisa ser desabilitado no provedor de identidade. Esse processo pode exigir coordenação com seu departamento de TI ou com a pessoa que tem as permissões apropriadas para seu provedor de identidade.
Depois de desabilitar o provisionamento de usuário externo no seu provedor de identidade, faça o seguinte:
-
Abra a página inicial do Launchpad (www.highbond.com).
Se a sua empresa usa mais de uma instância no Launchpad, verifique se a instância apropriada está ativa.
-
No painel esquerdo, selecione Configurações da Plataforma e em Gerenciamento da organização, selecione Organização.
-
Na página que é exibida, selecione Gerenciar provisionamento de usuários.
A página Provisionamento de usuários é exibida.
-
Na página Provisionamento de usuário, selecione Remover.
-
Na caixa de diálogo Remover provisionamento de usuário que é exibida, revise os efeitos da remoção do provisionamento de usuários e selecione Remover.
