SCIM

分享

本文是否有帮助?

上次更新时间:

SCIM 配置指南

通过 KnowBe4 的跨域身份管理系统 (SCIM) 集成,您可借助 SCIM 身份识别供应商 (IdP) 所提供的数据,管理 KSAT 控制台中的用户。利用 SCIM 集成,您可根据 SCIM IdP 所发送的数据,在您的 KSAT 控制台中自动添加、更改并存档用户。配置该集成并导入用户后,即可在统一平台上管理所有用户。

记住:除非移除管理员的权限,否则不会存档管理员。

您还能选择使用 Active Directory 集成 (ADI) 对用户进行添加、更改并归档。如需了解关于 ADI 的更多信息,请参阅Active Directory 集成 (ADI) 配置指南

SCIM 的工作原理

凭借 SCIM,您可将用户信息从 IdP 同步到 KSAT 控制台,从而在统一平台上管理所有用户。

启用 SCIM 之前,您可直接编辑用户信息或使用 CSV 文件更新用户信息,以便在 KSAT 控制台中管理用户。启用 SCIM 并进行首次同步后,即可通过您的 SCIM IdP 管理用户,且各项更改会同步到您的 KSAT 控制台。

由于这是单向同步过程,因此您在 KSAT 控制台中所做的任何更改都不会同步到您的 SCIM IdP。如果您在 KSAT 控制台中进行更改,这些更改会被 SCIM IdP 中的数据覆盖。同步用户后,SCIM IdP 未包含的所有用户都会存档在 KSAT 控制台中。

先决条件

请务必满足以下要求,再配置 SCIM:

  • 您有权在 KSAT 控制台的帐户设置中访问 SCIM 令牌租户 URL。有关如何查找 SCIM 令牌和租户 URL,请参阅以下配置 SCIM 部分。
  • 您知道要将哪些用户从 SCIM IdP 同步到 KSAT 控制台。
注意:您可以选择不使用 SCIM 托管一个或多个特定用户。如不想由 SCIM 托管特定用户,请创建 CSV 文件,内含您不想由 SCIM 托管的用户列表。针对此类用户,请在配置托管标题下输入“false”。

SCIM 配置

要将 SCIM IdP 与 KSAT 控制台连接,您须打开 KSAT 控制台的帐户设置并启用部分设置。然后,您需要完成 SCIM IdP 中的配置。

注意:如果您从 ADI 切换到 SCIM,请注意,我们的 SCIM 集成不支持电子邮件地址别名。一旦禁用测试模式并运行同步,所有电子邮件地址别名都会被移除。

如需在 KSAT 控制台中配置 SCIM 设置,请按以下步骤操作:

  1. 登录您的 KSAT 控制台,在页面右上角单击您的电子邮件地址。
  2. 选择帐户设置
  3. 导航至用户管理 > 用户配置

  4. 选中启用用户配置(用户同步)复选框。选中此复选框后,可看到其他设置。

  5. 单击 SCIM

  6. 单击生成 SCIM 令牌。点击此按钮后,打开新浏览器窗口,可看到您的 SCIM 令牌。一定要复制该 SCIM 令牌并保存到以后容易找到的位置。

    重要提示:一旦关闭浏览器窗口,则无法再次查看该 SCIM 令牌。生成了 SCIM 令牌后,生成 SCIM 令牌按钮将变为重新生成 SCIM 令牌。有关更多信息,请参阅本文的 SCIM 设置部分。
  7. 点击确认,关闭窗口。

  8. 复制租户 URL 并保存到以后容易找到的位置。

    重要提示:请确保已成功保存租户 URL 和步骤 7 中的 SCIM 令牌,然后继续下一步。在 IdP 中配置 SCIM 时,您需要使用租户 URL 与 SCIM 令牌。

  9. 确保选中测试模式复选框。

    重要提示:在完成 SCIM 集成配置并成功运行同步之前,建议始终选中测试模式复选框。测试模式会根据您的当前配置生成一份报告,说明 SCIM 启用时会出现的情况。启用测试模式后,您的 KSAT 控制台不会发生任何变化。准备好启用同步后,可在您的帐户设置中禁用测试模式。如果您从 ADI 切换到 SCIM,在您保存好帐户设置后,测试模式就会自动启用。

  10. 单击帐户设置页面底部的保存变更

可支持的提供商

现在,您已在 KSAT 控制台中启用 SCIM,即可在 SCIM IdP 中完成连接。

注意:以下指南中概述的说明是 KnowBe4 可支持的唯一配置。若未按照这些文章所述步骤进行操作,可能会导致用户配置出现问题。

如需在您使用的 IdP 中配置 SCIM,请参阅以下任一文章:

SCIM 设置

一旦启用 SCIM 集成,就会在帐户设置SCIM 部分中看到三个按钮。点击这些按钮,即可重新生成或撤销 SCIM 令牌或者强制同步。如需了解这些按钮的更多信息,请查看以下截图和列表:

  1. 重新生成 SCIM 令牌:点击此按钮,生成新的 SCIM 令牌。此令牌只能查看一次,所以一定要先保存令牌,再关闭浏览器窗口。在您提供新令牌之前,您的 IdP 与 KSAT 控制台之间的连接将被中断。
  2. 撤销 SCIM 令牌:单击此按钮,禁用当前的 SCIM 令牌。当前使用此令牌的 IdP 将不再与您的 KSAT 控制台连接。
  3. 立即强制同步:点击此按钮,随时手动强制 SCIM 同步,无需在您的 IdP 中进行更改。

常见问题解答 (FAQ)

以下是一些有关 SCIM 的常见问题解答。

KnowBe4 支持哪些属性?

我们支持的属性取决于您使用的 IdP。如需详细了解我们支持哪些字段,请参阅您的特定身份识别供应商的相关文档。

我可以同时使用 SCIM 和 ADI 吗?

您不能同时使用 SCIM 和 ADI。但是,您可通过帐户设置切换这两种连接。请注意,如果您在 ADI 和 SCIM 之间切换,当测试模式禁用的时候,您的数据可能会在开始同步后被覆盖或丢失。

KnowBe4 是否限制了通过 SCIM 同步用户的频率?

我们设置了 15 分钟的全局同步限制,以免服务队列过载。当一个新的同步请求排入队列时,如果某个现有同步的排队时间少于 15 分钟,那么新的同步将被跳过。

本文是否有帮助?

37 人中有 29 人觉得有帮助

未找到您需要的内容?

联系支持人员