Neues in API7 Enterprise 3.2.11: Unterstützung für SCIM und SSO-Rollenzuordnung

Zhihuang Lin

Zhihuang Lin

May 17, 2024

Products

Die Verwaltung von Benutzeridentitäten und die Zugriffskontrolle sind mit dem Fortschritt der Digitalisierung immer wichtiger geworden. Die API7 Enterprise Version 3.2.11 bietet den Benutzern eine effizientere und bequemere Identitätsverwaltung und ein Single Sign-On (SSO)-Anmeldeerlebnis durch die Unterstützung von SCIM (System for Cross-domain Identity Management) und SSO-Rollenzuordnung.

Unterstützung von SCIM: Domänenübergreifende Identitätsverwaltung und Synchronisierung

Als standardisiertes Protokoll für die Benutzeridentitätsverwaltung vereinfacht SCIM den Austausch von Benutzeridentitätsinformationen zwischen verschiedenen Systemen erheblich. Die API7 Enterprise Version 3.2.11 unterstützt nun den SCIM-Standard, wodurch Operationen wie das Erstellen, Aktualisieren, Löschen und Abfragen von Benutzeridentitätsinformationen einfacher werden.

Mit SCIM können Unternehmen Benutzerinformationen direkt auf dem Identity Provider (IdP) verwalten. Ob es darum geht, Konten für neue Mitarbeiter zu erstellen oder Konten für ausscheidende Mitarbeiter zu deaktivieren, alles kann auf einer einzigen Plattform erledigt und automatisch synchronisiert werden. Dieser domänenübergreifende Verwaltungsansatz verbessert nicht nur die Verwaltungseffizienz, sondern gewährleistet auch die Genauigkeit und Integrität der Benutzerdaten.

Auf der Seite Organisationseinstellungen wurde eine neue Konfigurationsoption im Zusammenhang mit SCIM hinzugefügt, die zunächst deaktiviert ist. Klicken Sie auf die Schaltfläche Aktivieren in der oberen rechten Ecke, um SCIM zu aktivieren.

SCIM-Bereitstellung

Sobald aktiviert, zeigt das System die URL des SCIM-Endpunkts und ein Kopierfeld für das SCIM-Token an. Dieser SCIM-Endpunkt bietet eine Reihe von RESTful APIs, die es Identitätsanbietern (IdPs) ermöglichen, Benutzeridentitätsinformationen auszutauschen, und unterstützt Operationen wie das Hinzufügen, Löschen und Aktualisieren von Benutzerinformationen für verschiedene IdPs.

  • Das SCIM-Token ist ein wesentlicher Berechtigungsnachweis, der für die Authentifizierung am SCIM-Endpunkt verwendet wird. Bitte beachten Sie, dass das Token nur einmal angezeigt wird, nachdem SCIM zum ersten Mal aktiviert wurde, und nicht erneut angezeigt wird, wenn Sie die aktuelle Seite verlassen. Daher sollten Sie das Token unbedingt kopieren und speichern, um einen reibungslosen Ablauf in den folgenden Schritten zu gewährleisten.

  • Die API7 SCIM-Endpunkt-URL ist der Zugangspunkt für unsere SCIM-standardisierte API.

SCIM-Bereitstellung

Um die Einzigartigkeit der Benutzerdatenquellen zu gewährleisten, werden Benutzer, die über SCIM auf die Plattform synchronisiert werden, mit einem SCIM-Label gekennzeichnet.

Benutzer mit SCIM-Label

Benutzer mit dem SCIM-Label können innerhalb der Plattform nicht gelöscht werden. Solche Benutzer können nicht direkt innerhalb von API7 Enterprise gelöscht werden und müssen über den IdP gelöscht und mit API7 Enterprise synchronisiert werden. Ebenso können Benutzer, die im IdP deaktiviert wurden, sich nicht bei API7 Enterprise anmelden.

Anmeldeseite von Benutzern mit deaktiviertem SCIM-Label

Unterstützung von SSO-Rollenzuordnung: Verbesserung des SSO-Anmeldeerlebnisses

In der API7 Enterprise Version 3.2.11 verbessert die Einführung der SSO-Rollenzuordnung die Bequemlichkeit der SSO-Anmeldung weiter. Durch die Einführung der Rollenzuordnung kann das System automatisch entsprechende Anwendungszugriffsrechte basierend auf der Identität und den Berechtigungen des Benutzers im IdP zuweisen. Dadurch müssen Benutzer keine separaten Berechtigungen in API7 Enterprise festlegen, was die Arbeitseffizienz und das Benutzererlebnis verbessert.

Auf der Seite Organisationseinstellungen wird beim Hinzufügen einer neuen Anmeldeoption, unabhängig vom ausgewählten Anbieter, ein Rollenzuordnung-Schalter am unteren Rand des Konfigurationsformulars hinzugefügt. Nach Aktivierung dieses Schalters wird das Formular zur Konfiguration der Rollenzuordnung angezeigt.

Rollenzuordnung in API7 Enterprise

  • Interne Rolle: Dies sind integrierte Rollen innerhalb von API7 Enterprise und werden zur Steuerung der Benutzerzugriffsrechte und des Betriebsumfangs verwendet. In der Rollenzuordnung können wir Rollen von externen IdPs diesen internen Rollen zuordnen, um Benutzern bei der Anmeldung entsprechende Berechtigungen zuzuweisen.

  • Zugeordnetes Rollenattribut: Der Bezeichner der Benutzerrolleninformationen, die vom IdP zurückgegeben werden, wird verwendet, um die Rollendaten des Benutzers in der Antwort des IdP zu lokalisieren. Angenommen, ein bestimmter Attributname wie "role" oder "groups" wird angegeben, extrahiert das System die Rollendaten aus der Antwort des IdP basierend auf diesem Attributnamen.

  • Operation: Wird verwendet, um festzulegen, wie die Rollendaten des IdP mit den API7-integrierten Rollen abgeglichen werden sollen. Es unterstützt verschiedene Methoden wie exakte Übereinstimmung, unscharfe Übereinstimmung und Array-Übereinstimmung. Wenn der vom IdP zurückgegebene Rollenwert beispielsweise ein String-Array ist, können wir "Exakte Übereinstimmung im Array" wählen, um ein übereinstimmendes Element zu finden.

  • Zugeordneter Rollenwert: Der spezifische Wert im IdP, der die Rolle des Benutzers darstellt, muss hier angegeben werden. Diese Werte werden mit den integrierten Rollen in API7 Enterprise abgeglichen. Wenn der IdP beispielsweise einen Rollenwert namens "Idp Super Admin" hat, können Sie ihn der integrierten Rolle "Super Admin" in API7 Enterprise zuordnen.

Die Rollenzuordnungsfunktion unterstützt das Hinzufügen mehrerer Zuordnungskonfigurationen, und die integrierten Rollen können wiederholt ausgewählt werden, um verschiedene komplexe Zuordnungsanforderungen zu erfüllen. Sobald die Rollenzuordnung aktiviert ist, werden Änderungen in den Benutzerrolleninformationen im IdP bei der nächsten Anmeldung des Benutzers gemäß den neuen Zuordnungsregeln aktualisiert. Benutzer werden umgehend benachrichtigt, wenn sich ihre Rollen aufgrund der Zuordnung ändern.

Benachrichtigung über Rollenzuordnung

Die Rollenzuordnungskonfigurationen werden auf der Detailseite der Anmeldeoptionen angezeigt. Benutzer können auf dieser Seite detaillierte Konfigurationen anzeigen und entsprechende Operationen durchführen.

Rollenzuordnungskonfigurationen

Was kommt als Nächstes?

Wir werden die Funktionen zur Identitätsverwaltung und Zugriffskontrolle weiter optimieren und weitere Integrationslösungen erforschen, um den ständig wachsenden Sicherheitsanforderungen von Unternehmen gerecht zu werden. Wir freuen uns auch auf Ihr Feedback, um unser Produkt weiter zu verbessern. Wenn Sie Fragen oder Anregungen haben, kontaktieren Sie uns bitte über unsere Supportkanäle. Vielen Dank für Ihre kontinuierliche Unterstützung und Ihr Interesse an API7 Enterprise.

Tags:
API7 Enterprise