Что нового в API7 Enterprise 3.2.11: Поддержка SCIM и сопоставления ролей SSO

Управление идентификацией пользователей и контроль доступа становятся все более важными с развитием цифровизации. Версия API7 Enterprise 3.2.11 предоставляет пользователям более эффективный и удобный опыт управления идентификацией и входа через Single Sign-On (SSO), поддерживая SCIM (System for Cross-domain Identity Management) и сопоставление ролей SSO.

Поддержка SCIM: Управление и синхронизация идентификацией между доменами

Как стандартизированный протокол управления идентификацией пользователей, SCIM значительно упрощает обмен информацией о пользователях между различными системами. Версия API7 Enterprise 3.2.11 теперь поддерживает стандарт SCIM, что делает операции создания, обновления, удаления и запроса информации о пользователях более удобными.

С помощью SCIM предприятия могут напрямую управлять информацией о пользователях на стороне Identity Provider (IdP). Будь то создание учетных записей для новых сотрудников или отключение учетных записей для увольняющихся сотрудников, все это можно сделать на одной платформе и автоматически синхронизировать. Такой подход к управлению между доменами не только повышает эффективность управления, но и обеспечивает точность и целостность данных пользователей.

На странице Organization Settings добавлена новая опция конфигурации, связанная с SCIM, которая изначально установлена в закрытое состояние. Нажмите кнопку Enable в правом верхнем углу, чтобы активировать SCIM.

После активации система отобразит URL конечной точки SCIM и поле для копирования SCIM Token. Эта конечная точка SCIM предоставляет набор RESTful API, которые позволяют поставщикам идентификации (IdPs) обмениваться информацией о пользователях, поддерживая такие операции, как добавление, удаление и обновление информации о пользователях для различных IdPs.

• SCIM токен — это важный учетный данные, используемый для аутентификации на конечной точке SCIM. Обратите внимание, что токен будет отображен только один раз после первой активации SCIM и не будет показан снова, если вы покинете текущую страницу. Поэтому обязательно скопируйте и сохраните токен своевременно, чтобы обеспечить бесперебойное выполнение последующих шагов.

• URL конечной точки SCIM API7 — это точка доступа к нашему стандартизированному API SCIM.

Для обеспечения уникальности источников данных пользователей, пользователи, синхронизированные на платформу через SCIM, будут помечены меткой SCIM.

Пользователи с меткой SCIM не поддерживают удаление внутри платформы. Такие пользователи не могут быть удалены напрямую в API7 Enterprise и должны быть удалены через IdP и синхронизированы с API7 Enterprise. Аналогично, когда пользователь отключен в IdP, он не сможет войти в API7 Enterprise.

Поддержка сопоставления ролей SSO: Улучшение опыта входа через SSO

В версии API7 Enterprise 3.2.11 введение сопоставления ролей SSO еще больше повышает удобство входа через SSO. Благодаря введению сопоставления ролей система может автоматически назначать соответствующие права доступа к приложениям на основе идентификатора и прав пользователя в IdP. В результате пользователям не нужно отдельно настраивать права в API7 Enterprise, что повышает эффективность работы и улучшает пользовательский опыт.

На странице Organization Settings при добавлении новой опции входа, независимо от выбранного провайдера, в нижней части формы конфигурации добавлен переключатель Role Mapping. После активации этого переключателя отобразится форма для настройки сопоставления ролей.

• Внутренняя роль: Это встроенные роли в API7 Enterprise, которые используются для контроля прав доступа и операционной области пользователей. В сопоставлении ролей мы можем сопоставить роли из внешних IdPs с этими внутренними ролями, чтобы назначать соответствующие права пользователям при входе.

• Атрибут сопоставленной роли: Идентификатор информации о роли пользователя, возвращаемой IdP, используется для определения данных о роли пользователя в ответе IdP. Предполагая указанное имя атрибута, например "role" или "groups", система извлечет данные о роли из ответа IdP на основе этого имени атрибута.

• Операция: Используется для определения того, как сопоставить данные о роли IdP с встроенными ролями API7. Поддерживаются различные методы, такие как точное совпадение, нечеткое совпадение и совпадение в массиве. Например, если значение роли, возвращаемое IdP, представляет собой массив строк, мы можем выбрать "Точное совпадение в массиве" для поиска соответствующего элемента.

• Значение сопоставленной роли: Конкретное значение в IdP, представляющее роль пользователя, которое необходимо указать здесь. Эти значения будут сопоставлены с встроенными ролями в API7 Enterprise. Например, если в IdP есть значение роли под названием "Idp Super Admin", вы можете сопоставить его с встроенной ролью "Super Admin" в API7 Enterprise.

Функция сопоставления ролей поддерживает добавление нескольких конфигураций сопоставления, и встроенные роли могут быть выбраны повторно для удовлетворения различных сложных требований сопоставления. После активации сопоставления ролей, если в информации о роли пользователя в IdP произойдут изменения, эти изменения будут обновлены в соответствии с новыми правилами сопоставления при следующем входе пользователя. Пользователи будут своевременно уведомлены, если их роли изменятся из-за сопоставления.

Конфигурации сопоставления ролей отображаются на странице деталей опций входа. Пользователи могут просматривать подробные конфигурации и выполнять соответствующие операции на этой странице.

Что дальше?

Мы продолжим оптимизировать функции управления идентификацией и контроля доступа и исследовать больше решений для интеграции, чтобы удовлетворить растущие потребности предприятий в безопасности. Мы также с нетерпением ждем ваших отзывов, чтобы еще больше улучшить наш продукт. Если у вас есть вопросы или предложения, пожалуйста, свяжитесь с нами через наши каналы поддержки. Благодарим за вашу постоянную поддержку и внимание к API7 Enterprise.