Как настроить Just-In-Time User Provisioning
Функциональность Just-In-Time User Provisioning (JIT UP) избавляет от необходимости создания учетных записей для каждого отдельного сервиса и поддержания актуальности базы пользователей вручную. JIT UP дополняет технологию единого входа, позволяя снизить количество операций по администрированию учетных записей и персональных данных в записи контактов. При каждом входе пользователя с помощью технологии единого входа данные на странице контакта обновляются данными, полученными от провайдера идентификации (Рис. 441). Если у пользователя нет учетной записи в bpm'online, она может быть создана при первом входе.
Рис. 441 — Схема обновления данных при использовании Just-in-Time User Provisioning
На заметку
Обновление контакта данными от провайдера идентификации включает в себя обновление данных контакта на странице записи и принадлежности к группам контактов в bpm’online.
Для того чтобы указать, какие поля записи контакта необходимо заполнять данными из домена, необходимо настроить сопоставление полей из SAML Assertion с колонками bpm’online. Настройка сопоставления выполняется в SAML Assertion провайдера идентификации и в справочнике [Преобразователь SAML атрибута в название поля контакта] в bpm’online.
Для выполнения настройки необходима настроенная учетная запись в провайдере идентификации (Рис. 442), в которой есть необходимые для bpm'online данные.
Рис. 442 — Поля учетной записи в провайдере идентификации OneLogin
Для настройки параметров заполнения полей выполните следующие действия:
1.Проверьте, что все нужные поля передаются в bpm’online. Например, для заполнения профиля пользователя John Best необходимо настроить передачу полей [Company], [Department], [Email], [First Name], [Last Name], [Phone] (Рис. 443).
Рис. 443 — Параметры приложения в провайдере идентификации OneLogin
На заметку
Для проверки корректности параметров рекомендуем использовать дополнение SAML Decoder в браузере Google Chrome.
2.Проверьте, что на стороне bpm'online для каждого необходимого поля заданы корректные правила получения значений и обновления колонок. Правила настраиваются в справочнике [Преобразователь SAML атрибута в название поля контакта]. Для каждого поля, полученного из провайдера идентификации, необходимо указать колонку в bpm'online. Например, для заполнения профиля контакта John Best укажите колонки [Department], [Account], [Phone], [Email], [Given name], [Surname] (Рис. 444).
На заметку
В качестве колонок контакта необходимо указывать названия колонок в базе данных bpm’online.
Рис. 444 — Настройка справочника SAML
3.Поле, которое отсутствует в данных провайдера идентификации, может быть заполнено значением, указанным в поле [Значение колонки по умолчанию] справочника [Преобразователь SAML атрибута в название поля контакта]. Например, провайдер идентификации OneLogin не содержит поле [Тип контакта] и не передает его при входе пользователя. Для заполнения этого поля задайте в справочнике правило и укажите в нем значение по умолчанию “Сотрудник” (Рис. 444). В этом случае у созданных контактов в поле [Тип] всегда будет указано значение “Сотрудник”.
4.При необходимости, для провайдера идентификации OneLogin можно добавить пользовательские параметры и поместить в них макросы (Рис. 445). Подробнее о работе с макросами читайте в отдельной статье.
Рис. 445 — Пользовательское поле в провайдере идентификации OneLogin
После выполнения настроек данные контакта bpm'online будут автоматически заполнены данными, указанными в полях провайдера идентификации OneLogin при входе пользователя в систему (Рис. 446).
Рис. 446 — Заполнение полей контакта данными из провайдера идентификации
Смотрите также
•Как настроить интеграцию с ADFS
•Как настроить интеграцию с OneLogin
