在本文中,您将了解如何在 Okta 中配置 SCIM。在 Okta 中配置 SCIM 后,您就能通过 Okta 在 KSAT 控制台中管理用户。如需了解如何对 KSAT 控制台启用 SCIM,请参阅《SCIM 配置指南》。
以下说明适用于第三方软件。如果您在 Okta 中遇到用户配置问题,建议联系 Okta 并获取具体说明。您也可以联系 KnowBe4 支持团队,我们很乐意为您提供帮助。
配置 SCIM
在 KSAT 控制台的帐户设置中配置 SCIM 后,即可在 Okta 中配置 SCIM。在 Okta 中配置 SCIM 的步骤如下:
- 登录您的 Okta 门户并选择 Applications。
- 单击 Browse App Catalog。
- 在搜索栏中输入“KnowBe4”,筛选搜索结果。
-
选择 KnowBe4 应用。
注意:如果已在 Okta 中设有 KnowBe4 SAML 应用,可继续保留该应用。重要提示:如果要将配置功能添加至现有自定义 SAML 应用,则须先配置现有用户,然后用户才能登录。要配置现有用户,您需要打开应用配置页面,前往 Assignments 选项卡并选择 Provision User。 -
单击 Add Integration。
- 根据需要编辑名称和设置。
- 点击 Done。
- 选择 Provisioning 选项卡。
- 点击 Integration 子部分。
- 点击 Configure API Integration。
- 选中 Enable API integration 复选框。
- 将 KSAT 控制台帐户设置的租户 URL 粘贴到 SCIM 连接器 Base URL 字段。如需了解如何获取您的租户 URL,请参阅《SCIM 配置指南》的配置 SCIM 部分。
- 将 KSAT 控制台帐户设置的 SCIM 令牌粘贴到 API Token 字段。如需了解如何获取您的 SCIM 令牌,请参阅《SCIM 配置指南》的配置 SCIM 部分。
- 单击 Test API Credentials。
-
您会看到一条通知测试结果的消息。如测试成功,请单击 Save。
- 在 KSAT 控制台与 Okta 之间建立连接后,就可以启用要通过 Okta 管理的各项服务了。选择 To App,即可开始。
- 单击 Provisioning to App 部分右侧的 Edit。
-
选中 Enable 复选框,选择要使用的每个功能。
在 Okta 中配置完 SCIM 后,您须选择要同步的用户。如需了解通过 Okta 同步用户的更多信息,请参阅以下确定要同步的用户和群组部分。
确定要同步的用户和群组
完成上述配置 SCIM 部分中的步骤后,即可决定想要同步的用户和群组。您必须先确定要同步的用户和群组,然后才能从身份识别供应商中同步用户。
确定要同步的用户和群组的步骤如下:
- 登录您的 Okta 门户并选择 Applications。
- 打开上述配置 SCIM 部分,点击已创建的 SCIM 应用程序。
- 选择 Assignments 选项卡。
- 点击 Assign,选择要同步的用户。
-
单击 Assign to People 或 Assign to Groups,具体取决于您确定要同步的是用户还是群组。
-
选择要同步的用户或群组。
重要提示:进行首次同步时,建议只选择少量用户或群组。 - 单击 Assign。
- 选择了要同步的用户或群组后,点击 Save and Go Back。
- 添加了要同步的全部用户和群组后,点击 Done。
您所选择的任何用户和群组将立即显示在 Assignments 选项卡中。
确定要同步的群组
如需将群组及其成员从 Okta 同步到 KSAT 控制台,请按以下步骤操作。
- 登录您的 Okta 门户并选择 Applications。
- 打开上述配置 SCIM 部分,点击已创建的 SCIM 应用程序。
-
单击 Push Groups。
重要提示:Okta 不支持将相同群组用于任务分配和群组推送。有关更多信息,请参阅 Okta 的文章群组推送。 - 从打开的下拉菜单中,选择 Find groups by name。
- 输入要同步的群组名称。
- 点击 Save。
属性映射
在 Okta 中,您可以自定义多项属性映射,从而确定在 Okta 与 KSAT 控制台之间同步的字段。修改属性映射的步骤如下:
- 登录您的 Okta 门户并选择 Applications。
- 打开上述配置 SCIM 部分,点击已创建的 SCIM 应用程序。
- 点击 Provisioning。
- 点击 To App。
- 向下滚动至 Attribute Mappings。
- 进行必要的更改。
- 保存更改。
也许您有某些字段不想从 Okta 同步更新到 KSAT 控制台。建议最好删除这些属性映射,这样此类字段就不会在 Okta 同步期间进行更新。
如需了解 Okta 属性映射的更多信息,请参阅以下高级配置选项部分。
开始同步
配置了 SCIM 并添加了要同步的用户和群组后,即可开始同步。启动首次同步后,系统将从 Okta 进行自动同步。您也可以随时从 Okta 门户手动强制同步。
开启同步的步骤如下:
- 登录您的 Okta 门户并选择 Applications。
- 打开上述配置 SCIM 部分,点击已创建的 SCIM 应用程序。
- 点击 Provisioning。
-
单击 Force Sync。
立即启动同步。经过初始同步后,当您在 Okta 中更改用户信息时,系统将进行自动同步。
开始同步后,您可登录 KSAT 控制台,打开配置选项卡,查看同步状态及错误。如需详细了解配置选项卡,请参阅配置子选项卡指南。
高级配置选项
更改默认字段映射,添加自定义属性或映射自定义 KnowBe4 字段,即可自定义 Okta 配置。如需了解自定义 Okta 配置的更多信息,请参见以下子部分。
更改默认字段映射
您可选择更改默认字段映射。默认字段映射如下表所示:
| KSAT 字段 | SCIM 属性 | Okta 字段 |
|---|---|---|
| 电子邮件 | userName | userName |
| 名字 | givenName | user.firstName |
| 姓氏 | familyName | user.lastName |
| 电话号码 | primaryPhone | user.primaryPhone |
| 位置 | formatted | user.postalAddress |
| 分部 | division | user.division |
| 员工编号 | employeeNumber | user.employeeNumber |
| 职位头衔 | title | user.title |
| 组织 | organization | user.organization |
| 部门 | department | user.department |
| 手机号码 | mobilePhone | user.mobilePhone |
| 经理显示名 | managerDisplayName | user.manager |
| 经理电子邮件 | managerEmail | user.managerId |
| KSAT 字段 | Okta 字段 | SCIM 属性 |
|---|---|---|
| 时区 | 不适用 | 不适用 |
| 电话分机 | 不适用 | 不适用 |
| 语言 | 不适用 | 不适用 |
| 备注 | 不适用 | 不适用 |
| 员工开始日期 | 不适用 | 不适用 |
默认字段映射的更改步骤如下:
- 登录您的 Okta 门户并选择 Applications。
- 打开上述配置 SCIM 部分,点击已创建的 SCIM 应用程序。
- 点击 Provisioning。
- 选择 To App。
- 选择 Attribute Mappings 部分。
-
单击铅笔图标,将新 Okta 字段映射到 SCIM 属性。
添加自定义属性
要在 Okta 中将新的自定义属性添加到 KnowBe4 配置应用程序,请按以下步骤操作:
- 登录 Okta 管理员控制台。
- 导航到 Applications,选择您在上述配置 SCIM 部分创建的 KnowBe4 SCIM 应用程序。
- 单击 Provisioning,然后单击 Mappings 部分下的 Go to Profile Editor。
- 单击 Profile Editor 中的 Add Mapping。Add Attribute 窗口将打开。
-
选择要添加的属性映射。我们在 Okta 中提供以下所示的附加属性映射:
显示名称 变量名称 外部命名空间 公司名称 companyName urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User 国家/地区 country urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User 员工类型 userType urn:ietf:params:scim:schemas:core:2.0:User 主机名 hostname urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User 邮件昵称 mailNickName urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User SAM 帐户名称 onPremisesSamAccountName urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User 安全标识符 onPremisesSecurityIdentifier urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User 用户主体名称 userPrincipalName urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User 上次密码更改 lastPasswordChangeDateTime urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User -
请参阅以下截图和列表,在 Add Attribute 窗口中配置属性映射:
- Data type:选择 String 作为属性映射的 Data type。
- Display name:输入属性映射的 Display name。
-
Variable name:输入属性映射的 Variable name。此变量将从 Okta 发送到 KnowBe4 配置应用程序。
提示:在 Variable name 字段中输入相应内容将自动填充 Variable name 字段。 -
External name:输入属性映射的 Variable name。External name 字段应与 Variable name 字段相同。
提示:在 Variable name 字段中输入相应内容将自动填充 Variable name 字段。 -
External namespace:输入属性映射的 External namespace 值。
注意:External namespace 值必须与表中的值完全一致。建议复制并粘贴该值。 - Save:单击 Save,添加新的属性映射。
- 单击 Save Mappings,应用您的更改。
- 按下面映射自定义字段部分所述操作,映射新的属性。
映射自定义字段
您还可以选择映射自定义字段,与您的 KSAT 控制台同步。
这些字段默认未映射,但您可按以下步骤将它们添加至 Okta 平台:
- 登录您的 Okta 门户并选择 Applications。
- 打开上述配置 SCIM 部分,点击已创建的 SCIM 应用程序。
- 点击 Provisioning。
- 向下滚动并点击 Show Unmapped Attributes。
-
单击位于要添加的属性旁边的铅笔图标。
-
在 Attribute 值下拉菜单中,选择要映射到每个自定义字段的 Okta 属性。
- 单击保存。
如果在使用此功能时需要帮助,请联系我们的支持团队。