Настроить Just-In-Time User Provisioning

PDF
Продукты
Все продукты

Функциональность Just-In-Time User Provisioning (JIT UP) избавляет от необходимости создания учетных записей для каждого отдельного сервиса и поддержания актуальности базы пользователей вручную. JIT UP дополняет технологию единого входа, позволяя снизить количество операций по администрированию учетных записей и персональных данных в записи контактов. При каждом входе пользователя с помощью технологии единого входа данные на странице контакта обновляются данными, полученными от провайдера идентификации (Рис. 1). Если у пользователя нет учетной записи в Creatio, то она может быть создана при первом входе.

Рис. 1 — Схема обновления данных при использовании Just-in-Time User Provisioning
scr_chapter_single_sign_on_jit_scheme.png

На заметку. Обновление контакта данными от провайдера идентификации включает в себя обновление данных контакта на странице записи и принадлежности к группам контактов в Creatio.

Включить использование JIT UP вы можете при настройке интеграции с провайдером идентификации. Подробнее читайте в статьях “Настроить Single Sign-On через ADFS” и “Настроить Single Sign-On через OneLogin”.

Для того чтобы указать, какие поля записи контакта необходимо заполнять данными из домена, необходимо настроить сопоставление полей из SAML Assertion с колонками Creatio. Настройка сопоставления выполняется в SAML Assertion провайдера идентификации и в справочнике Соответствие полей SAML полям контакта в Creatio.

Для выполнения настройки необходима настроенная учетная запись в провайдере идентификации (Рис. 2), в которой есть необходимые для Creatio данные.

Рис. 2 — Поля учетной записи в провайдере идентификации OneLogin
scr_chapter_single_sign_on_jit_setup_onelogin_user_profile.png

Для настройки параметров заполнения полей выполните следующие действия:

На заметку. Для проверки корректности параметров рекомендуем использовать дополнение SAML Decoder в браузере Google Chrome.

  1. Проверьте, что все нужные поля передаются в Creatio. Например, для заполнения профиля пользователя John Best необходимо настроить передачу полей Company, Department, Email, First Name, Last Name, Phone (Рис. 3).

    Рис. 3 — Параметры приложения в провайдере идентификации OneLogin
    scr_chapter_single_sign_on_jit_setup_onelogin_application_parameters.png
  2. Проверьте, что на стороне Creatio для каждого необходимого поля заданы корректные правила получения значений и обновления колонок. Правила настраиваются в справочнике Соответствие полей SAML полям контакта. Для каждого поля, полученного из провайдера идентификации, необходимо указать колонку в Creatio. Например, для заполнения профиля контакта John Best укажите колонки Department, Account, Phone, Email, Given name, Surname (Рис. 4).

    На заметку. В качестве колонок контакта необходимо указывать названия колонок в базе данных Creatio.

    Рис. 4 — Настройка справочника SAML
    scr_chapter_single_sign_on_jit_setup_saml_converter_lookup.png
  3. Поле, которое отсутствует в данных провайдера идентификации, может быть заполнено значением, указанным в поле Значение колонки по умолчанию справочника Соответствие полей SAML полям контакта. Например, провайдер идентификации OneLogin не содержит поле Тип контакта и не передает его при входе пользователя. Для заполнения этого поля задайте в справочнике правило и укажите в нем значение по умолчанию “Сотрудник” (Рис. 4). В этом случае у созданных контактов в поле Тип всегда будет указано значение “Сотрудник”.

  4. При необходимости, для провайдера идентификации OneLogin можно добавить пользовательские параметры и поместить в них макросы. Подробнее о работе с макросами читайте в документации OneLogin.