SCIM-integratie met Okta stelt je in staat om Document360-gebruikers, lezers en groepen rechtstreeks vanuit Okta te beheren op een geautomatiseerde en centraal aangestuurde manier.
Wanneer een nieuwe gebruiker wordt toegevoegd aan Okta, wordt hun Document360-account automatisch ingesteld. Alle updates van hun rol of groepslidmaatschap worden in realtime gesynchroniseerd, en wanneer een gebruiker wordt gedeactiveerd of verwijderd in Okta, wordt dit in Document360 weergegeven zonder enige handmatige tussenkomst. Dit elimineert de noodzaak voor apart accountbeheer in Document360 en zorgt ervoor dat gebruikersgegevens accuraat en up-to-date blijven op beide platforms.
Waarom gebruikers en lezers beheren via SCIM
Het handmatig beheren van gebruikers over meerdere platforms kost veel tijd en brengt risico's met zich mee. Zonder SCIM moeten beheerders onthouden om nieuwe medewerkers apart aan Document360 toe te voegen en handmatig toegang in te trekken wanneer iemand vertrekt. Fouten kunnen leiden tot ongeautoriseerde toegang of vertraagde onboarding.
Met SCIM ingeschakeld tussen Okta en Document360:
- Nieuwe medewerkers worden automatisch aan Document360 toegevoegd wanneer ze in Okta worden toegevoegd — er is geen aparte setup nodig.
- Roltoewijzingen zijn consistent en worden gecontroleerd via één enkele bron van waarheid in je IdP.
- Wanneer een gebruiker wordt gedeactiveerd of verwijderd in Okta, wordt zijn toegang tot Document360 automatisch ingetrokken.
- Wijzigingen in groepslidmaatschap in Okta worden in realtime weergegeven in Document360.
- Contenttoegang blijft beheersbaar vanuit Document360, zelfs wanneer identiteit door Okta wordt beheerd.
Voordat je begint
SCIM-provisioning in Document360 is ingesteld als onderdeel van je SSO-configuratie. Zorg ervoor dat de volgende onderdelen zijn afgerond voordat u verder gaat:
- SSO moet volledig geconfigureerd zijn en werken tussen Okta en Document360. Stel eerst SSO op met een van de onderstaande handleidingen.
- SCIM-provisioning moet ingeschakeld zijn in Document360. Ga naar Instellingen () > Gebruikers & rechten > SSO-configuratie, open je SSO-setup en bevestig dat de schakelaar SCIM-inzet ingeschakeld is.
SAML SSO met Okta
Configureer SAML SSO en schakel SCIM-provisioning in tussen Okta en Document360.
Zet SAML op met Okta →OpenID Connect SSO met Okta
Configureer OpenID Connect SSO en schakel SCIM-provisioning in tussen Okta en Document360.
OpenID instellen met Okta →Toewijzen van gebruikersattributen
SCIM gebruikt het userType attribuut of het legacy-attribuut isTeamAccount om de rol te bepalen die aan een persoon wordt toegewezen wanneer deze wordt ingesteld in Document360: User, Reviewer, or Reader.
userTypeWaarden worden als volgt afgebeeld naar rollen:
userType Waarde |
Toegewezen rol |
|---|---|
user |
Gebruiker |
reviewer |
Recensent |
reader |
Lezer |
isTeamAccountWaarden worden als volgt afgebeeld naar rollen:
isTeamAccount Waarde |
Toegewezen rol |
|---|---|
True |
Gebruiker |
False of niet-geset |
Lezer |
userType is een string-attribuut, in tegenstelling tot isTeamAccount, dat een legacy Booleaans attribuut is. Beide attributen zijn gedefinieerd in dezelfde extensienaamruimte: urn:ietf:params:scim:schemas:extension:document360:2.0:User.
Voeg de attributen toe in Okta:
- Vouw in de Okta Admin Console het keuzemenu Applicaties uit en selecteer Applicaties.
- Selecteer de applicatie die je wilt configureren en ga naar het tabblad Provisioning .
- Scroll naar beneden naar Attributentoewijzingen en klik op Ga naar Profieleditor.
- Klik onder het gedeelte Attributen op Attributen toevoegen en vul de onderstaande details in.
- Om attribuut toe te voegen
userType
| Voeg Attribuut Toe | Waarde |
|---|---|
| Datatype | String |
| Weergavenaam | Gebruikerstype |
| Variabele naam | userType |
| Externe naam | userType |
| Externe naamruimte | urn:ietf:params:scim:schemas:extension:document360:2.0:User |
- Om attribuut toe te voegen
isTeamAccount
| Voeg Attribuut Toe | Waarde |
|---|---|
| Datatype | |
| Weergavenaam | Teamaccount |
| Variabele naam | isTeamAccount |
| Externe naam | isTeamAccount |
| Externe naamruimte | urn:ietf:params:scim:schemas:extension:document360:2.0:User |
- Klik op Opslaan.
Voor de volledige precedentieregels van de userType en isTeamAccount attribuut, zie Attribuutprecedentie in het SCIM-provisioningartikel.
Stel het isTeamAccount attribuut altijd in op gebruikersniveau, niet op groepsniveau. Als deze op groepsniveau is ingesteld, kunnen gebruikers die tot meerdere groepen met conflicterende waarden behoren onjuiste rollen in Document360 ontvangen. Door het op gebruikersniveau in te stellen, krijgt elke gebruiker één duidelijke, consistente waarde.
Gebruik Expression Builder om rollen toe te wijzen
In plaats van het userType attribuut of het legacy-attribuut isTeamAccount handmatig voor elke gebruiker in te stellen, kun je Okta's Expression Builder gebruiken om automatisch te bepalen of een gebruiker is ingesteld als Gebruiker, Reviewer of Lezer in Document360, op basis van een bestaand attribuut in hun Okta-profiel, zoals functietitel, afdeling of groepslidmaatschap.
Hoe het werkt:
userType = user→ geprovisioneerd als GebruikeruserType = reviewer→ benoemd tot beoordelaaruserType = reader→ als lezer ingesteldisTeamAccount = True→ geprovisioneerd als een gebruikerisTeamAccount = False→ als Reader bevoorraden.
Na provisioning worden gebruikers automatisch toegevoegd aan de respectievelijke gebruikersgroepen of lezergroepen in Document360.
Stappen om te configureren:
- Ga in de Okta Admin Console naar Applicaties en selecteer je SCIM-applicatie.
- Ga naar het tabblad Provisioning en klik op het tabblad Naar App-modus onder Instellingen.
- Scroll naar beneden naar Attributentoewijzingen en klik op het Bewerken-icoon naast het
userTypeof hetisTeamAccountattribuut, afhankelijk van welke je gebruikt.
- Stel in het dialoogvenster het keuzemenu Attribuutwaarde in op Expressie.
- Voer je uitdrukking in het tekstvak dat beschikbaar is.
- Om de expressie te verifiëren, voer je de naam van een gebruiker in in het veld Voorbeeldweergave . Het resultaat wordt direct geëvalueerd en weergegeven in de groene balk onder het tekstvak, waarin wordt weergegeven of de gebruiker als gebruiker (
true) of als lezer (false) wordt ingesteld. - Selecteer onder Apply on Create of Create en update afhankelijk van of je wilt dat de expressie alleen wordt toegepast tijdens gebruikerscreatie of ook bij updates.
- Klik op Opslaan.
Klik onder het expressievakje op Expression Language Reference om alle beschikbare functies, operatoren en syntaxis te verkennen die in Okta's expressietaal worden ondersteund. Voor meer informatie, zie Okta's overzichtsgids voor Expression Language.
Op basis van functietitel
- Als je gebruikers een functietitel-attribuut in hun Okta-profiel hebben, kun je rollen toewijzen op basis van hun titel met behulp van:
userType
user.title == "Manager" || user.title == "Senior Manager" ? "user" : (user.title == "Team Lead" ? "reviewer" : "reader")
Gebruikers met de titel Manager of Senior Manager worden als Gebruikers ingericht, Teamleider als Reviewer, en alle andere titels als Lezers worden ingesteld
- Als je gebruikers een functietitel-attribuut in hun Okta-profiel hebben, kun je rollen toewijzen op basis van hun titel met behulp van:
isTeamAccount
user.title == "Manager" || user.title == "Senior Manager" || user.title == "Team Lead" ? "True" : "False"
Gebruikers met de titels Manager, Senior Manager of Teamleider worden als gebruikers ingericht. Alle andere titels zijn als Readers gereserveerd.
De naam van de attribuutvariabele (bijvoorbeeld user.title) moet overeenkomen met de exacte variabelnaam die in je Okta-gebruikersprofiel is gedefinieerd. Je kunt dit verifiëren in Directory > Profile Editor.
Gebaseerd op groepslidmaatschap
Als je gebruikers zijn georganiseerd in Okta-groepen, kun je rollen toewijzen op basis van de groepen waartoe ze behoren met behulp van:userType
isMemberOfGroupName("Managers") ? "user" : (isMemberOfGroupName("Reviewers") ? "reviewer" : "reader")
Gebruikers in de Beheerders-groep zijn als Gebruikers ingesteld, gebruikers in de Beoordelaars-groep als Beoordelaars, en iedereen anders als Lezers.
Als je gebruikers zijn georganiseerd in Okta-groepen, kun je rollen toewijzen op basis van de groepen waartoe ze behoren met behulp van:isTeamAccount
isMemberOfGroupName("Managers") || isMemberOfGroupName("TeamLead") || isMemberOfGroupName("Directors") ? "True" : "False"
Gebruikers die lid zijn van de Managers-, TeamLead- of Directors-groepen worden als Gebruikers aangewezen. Gebruikers die niet tot een van deze groepen behoren, worden als Lezers aangewezen.
Je kunt beide uitdrukkingen combineren of uitbreiden om extra functietitels of groepsnamen toe te voegen, afhankelijk van de behoeften van je organisatie.
Provision Okta aan Document360
Om gebruikersaanmaak, wijzigingen en deactivering in Okta te koppelen aan Document360:
- Vouw in de linker navigatiebalk het keuzemenu Applicaties uit en klik op Applicaties.
- Selecteer je SCIM-applicatie en ga naar het tabblad Provisioning .
- Klik op Bewerken onder Provisioning to App en selecteer de volgende selectievakjes:
- Maak gebruikers aan
- Werk gebruikersattributen bij
- Deactiveer gebruikers
Maak gebruikers, lezers en groepen aan
Maak een gebruiker aan
- Vouw in de Okta Admin Console het Directory-keuzemenu uit en selecteer Mensen.
- Klik op Persoon toevoegen, vul de vereiste gebruikersgegevens in en klik op Opslaan. Zodra de gebruiker is geprovisioned, wijst Document360 automatisch de rol toe op basis van de regel die in de Expression Builder is geconfigureerd.
- Selecteer de nieuw aangemaakte gebruiker en klik op Applicaties toewijzen om deze aan een applicatie te koppelen.
- Kies de applicatie waaraan je de gebruiker wilt toewijzen en klik op Toepassen. De gebruiker wordt succesvol aangemaakt.
Om te verifiëren, ga naar Document360 en navigeer naar Instellingen () > Gebruikers & machtigingen > Gebruikers & groepen. De nieuw aangemaakte gebruiker zou in de lijst moeten verschijnen.
Het aantal gebruikers dat je via Okta aan Document360 kunt toevoegen hangt af van je abonnement.
Reviewers kunnen nu direct vanuit Okta worden ingesteld via instellingen userType = reviewer — geen handmatige conversie nodig.
Alleen voor isTeamAccount configuraties:
Alle gebruikers die via SCIM zijn geprovisioneerd, worden aanvankelijk geteld onder de gebruikersquota. Als de gebruikerslimiet wordt bereikt, kan SCIM geen extra gebruikers provisioneren, zelfs als sommigen van hen bedoeld zijn als beoordelaars.
Oplossing:
- Provisioneer gebruikers van Okta via SCIM zoals gewoonlijk. Ze synchroniseren met Document360 met de standaardrol zoals Bijdrager of Beheerder.
- Nadat de gebruikers zijn gesynchroniseerd, verander je handmatig de rol van de benodigde gebruikers naar Reviewer in Document360.
- Zodra een gebruiker wordt veranderd in Reviewer, wordt hij geteld onder het Reviewer-quotum in plaats van het Gebruikersquotum . Dit maakt een gebruikersslot vrij.
Voorbeeld: Als je project 10 gebruikers en 10 beoordelaars toestaat en je wilt meer gebruikers toevoegen via SCIM nadat je de gebruikerslimiet hebt bereikt:
- Ten eerste, zorg dat 10 gebruikers via SCIM worden ingesteld.
- Verander vervolgens de vereiste gebruikers in Document360 naar Beoordelaars.
- Die gebruikers zullen overstappen naar de quotum voor Reviewers, waardoor gebruikersplaatsen vrijkomen voor extra gebruikers.
Maak een lezer
- Vouw in de Okta Admin Console het Directory-keuzemenu uit en selecteer Mensen.
- Klik op de pagina Mensen Toevoegen op Persoon Toevoegen, vul de vereiste lezergegevens in en klik op Opslaan. Dit bevestigt dat de lezer succesvol is toegevoegd aan de Identity Provider (Okta).
Zodra de lezer is geprovisioneerd, wijst Document360 automatisch de rol toe op basis van de regel die in de Expression Builder is geconfigureerd.
- Om de lezer met Document360 te integreren, selecteer je de nieuw aangemaakte lezer en klik je op Applicaties toewijzen.
- Selecteer in het Toewijzen van Applicatie-dialoog het project waaraan je de lezer wilt toewijzen en klik vervolgens op Toewijzen > Opslaan en Terug > Klaar.
- De nieuw aangemaakte lezer wordt automatisch gesynchroniseerd met Document360. Om te verifiëren, ga naar Document360 en ga naar Instellingen () > Gebruikers & permissies > Lezers & groepen.
De lezer wordt toegevoegd met de standaard content-toegang die tijdens de SSO-installatie is toegepast.
Maak een groep aan
- Vouw in de Okta Admin Console het Directory-dropdown uit en selecteer Groepen.
- Klik op Groep toevoegen, voer de gewenste groepsnaam in en klik op Opslaan.
Toepassing toewijzen aan groep
- Vouw het keuzemenu Applicaties uit en selecteer Applicaties.
- Selecteer de gewenste applicatie, ga naar het tabblad Toewijzingen en klik op Toewijzen > Toewijzen aan Groepen.
- Klik op Toewijzen naast de aangemaakte groep en klik vervolgens op Opslaan om de opdracht te voltooien.
Pushgroepen
In tegenstelling tot gebruikers worden groepen niet automatisch gesynchroniseerd met Document360 en moeten ze handmatig worden gepusht.
- Nadat je de groep aan de applicatie hebt toegewezen, ga je naar het tabblad Push Groups en klik je op Push Groups.
- Selecteer Groepen zoeken op naam en voer de groepsnaam in.
- Selecteer de groep uit de resultaten en klik op Opslaan om de groep succesvol naar Document360 te sturen.
- Om te verifiëren, ga naar Document360 > Instellingen () > Gebruikers & machtigingen > Lezers & groepen > Lezersgroepen.
De nieuw aangemaakte lezersgroep zou in je portaal moeten verschijnen.
Wanneer Okta een groep door SCIM pusht, maakt Document360 altijd een nieuwe groep aan in plaats van deze te koppelen aan een bestaande groep. Dit helpt problemen te voorkomen wanneer dezelfde groep verbonden is met meerdere SSO-providers. Als bijvoorbeeld één provider gebruikers uit de groep verwijdert, kan dit per ongeluk invloed hebben op gebruikers die door een andere provider worden beheerd. Het creëren van aparte groepen voorkomt dit conflict. Daarom beheer altijd SCIM-groepen en groepsleden van Okta, niet direct in Document360.
Voeg een gebruiker of lezer toe aan een groep
- Vouw in de Okta Admin Console het Directory-keuzemenu uit en selecteer Mensen.
- Ga naar het tabblad Groepen , zoek naar de groep waaraan je de gebruiker of lezer wilt toevoegen in het veld Groepen , en selecteer die.
- De gebruiker of lezer wordt succesvol toegevoegd aan de geselecteerde groep.
- Om het te bevestigen, ga naar Document360 en selecteer de relevante gebruikers- of lezersgroep. Het toegevoegde lid zou binnen de groep moeten verschijnen.
Als een groep zowel gebruikers als lezers bevat, zal deze zowel onder de gebruikersgroepen als de lezersgroepen in Document360 verschijnen.
Gebruikers, lezers en groepen beheren in Document360
Wanneer SCIM is ingeschakeld, wordt het bewerken van de naam van een gebruiker of het direct verwijderen van een gebruiker in Document360 uitgeschakeld. Deze acties moeten via Okta worden beheerd om beide platforms synchroon te houden. Je kunt alleen contenttoegang beheren vanuit Document360.
De SSO-SCIM-badge geeft aan of de gebruiker SCIM heeft ingeschakeld.
Beheer contenttoegang
De standaard contentrol die aan elke nieuwe gebruiker, lezer of groep wordt toegewezen, is gebaseerd op wat is geconfigureerd tijdens de SCIM-provisioning. Rechten worden standaard op Geen gezet, maar kunnen op elk moment worden bijgewerkt.
- Om contenttoegang te beheren, selecteer je de gewenste lezer en klik je op Inhoud Toegang beheren.
- Kies het gewenste toegangsniveau uit het dropdown en klik op Updaten.
Bestaande gebruikers beheren tijdens SCIM-provisioning
Als iemand al een account heeft in Document360, zal SCIM zijn bestaande rol niet wijzigen tijdens de eerste synchronisatie. Dit is een veiligheidsmaatregel om toevallige rolveranderingen te voorkomen.
Voorbeeld: Er bestaat al een gebruiker in Document360 als lezer. Als SCIM probeert dezelfde gebruiker als een gebruiker (userType = user, of isTeamAccount = True) in te stellen, kan het verzoek mislukken omdat de bestaande rol niet overeenkomt.
Hoe rolconflicten op te lossen:
- Open Document360 en zoek het gebruikersaccount.
- Werk handmatig de rol van de gebruiker bij om overeen te komen met de rol die je wilt provisioneren.
- Probeer de SCIM-synchronisatie opnieuw.
Zodra de gebruiker succesvol is gekoppeld en geprovisioneerd via SCIM, kunnen toekomstige rolwijzigingen worden beheerd met behulp van het userType attribuut.
Deactiveer gebruikers en lezers
Het deactiveren van een gebruiker in Okta verwijdert hun profiel niet uit Document360. De gebruiker wordt als inactief gemarkeerd en verliest de mogelijkheid om in te loggen bij Okta en toegang te krijgen tot zijn applicaties. Je kunt het account op elk moment opnieuw activeren, hoewel de gebruiker zijn wachtwoord moet resetten na heractivatie.
Om gebruikers of lezers van Okta uit te schakelen:
- Vouw het keuzemenu Directory uit en selecteer Mensen.
- Selecteer de gebruiker die je wilt deactiveren om naar hun gebruikersprofiel te navigeren.
- Klik op Meer Acties en selecteer Deactiveren.
De gebruiker wordt succesvol gedeactiveerd. Na deactivatie verandert de status van de gebruiker in Document360 van Actief naar Inactief.
Verwijder een gebruiker of lezer
Om een gebruikers- of lezersprofiel permanent uit Okta te verwijderen:
- Klik in Okta op Verwijderen in het gebruikers- of lezersprofiel.
- Er verschijnt een bevestigingsdialoog. Klik op verwijderen.
Het profiel wordt permanent verwijderd uit Okta.
Het verwijderen van een profiel in Okta verwijdert het niet uit Document360. Het profiel blijft met een Inactieve status.
Erven van een andere applicatie
Bij het aanmaken van een nieuwe SSO-configuratie in Document360 kun je SCIM-instellingen erven van een bestaande SSO-verbinding. Deze aanpak vereenvoudigt het installatieproces, voorkomt herhaling van configuratiestappen en helpt beheerders tijd te besparen terwijl consistentie tussen integraties wordt gewaarborgd.
Kindgeërfde SSO-configuratie
Selecteer op de pagina Configure Identity Provider (IdP) het veld 'Configure an existing connection' en kies de ouderapplicatie van SSO SCIM waarvan je wilt erven. Door deze optie te selecteren, wordt het huidige project aangewezen als het kindproject, waarbij alle relevante eigenschappen van de ouder worden geërfd.
Zodra de SSO-configuratie is aangemaakt, worden de SCIM-provisioning-instellingen overgenomen van de ouderapplicatie en kunnen ze niet meer worden aangepast in de kindapplicatie.
Oudergeërfde SSO-configuratie
De moederapplicatie toont een lijst van alle projecten die de configuratie hebben geërfd. Alle wijzigingen die aan de ouderapplicatie worden aangebracht, worden automatisch weergegeven in de kindapplicatie.
- Als SCIM in het hoofdproject is ingeschakeld nadat kindprojecten het al hebben geërfd, worden de gebruikers en groepen automatisch aan alle kindprojecten op de achtergrond toegewezen.
- Het inschakelen van overerving maakt het eenvoudiger om meerdere SSO-configuraties met SCIM ingeschakeld te beheren, omdat alle instellingen vanuit één ouderapplicatie worden bestuurd. Dit bespaart tijd en vermindert de inspanning die nodig is om elke configuratie afzonderlijk te beheren.
Best practices
- Altijd ingesteld
userTypeofisTeamAccountop gebruikersniveau, niet op groepsniveau. Gebruikers die tot meerdere groepen met conflicterende waarden behoren, kunnen onjuiste rollen krijgen in Document360. Door het op gebruikersniveau in te stellen, krijgt elke gebruiker één duidelijke, consistente waarde. - Test de SCIM-connector niet voordat de Document360-configuratie is opgeslagen. De test faalt op dat moment. Voltooi en sla altijd eerst de Document360 SSO-configuratie op, en keer dan terug naar Okta om te testen.
- Bewaar je primaire en secundaire geheime tokens veilig. Tokens worden slechts één keer getoond bij het maken ervan. Bewaar ze in een secrets manager of wachtwoordkluis. Als een token wordt gecompromitteerd, genereer deze dan onmiddellijk opnieuw en werk je Okta-configuratie zonder vertraging bij.
- Gebruik de secundaire token voor veilige rotatie. Als de primaire token vervangen moet worden, wissel dan eerst Okta naar de secundaire token en regenereer dan de primaire. Dit zorgt ervoor dat de gebruikelijke provisioning zonder onderbreking doorgaat tijdens de overgang.
- Los rolconflicten op voordat je SCIM-synchronisatie uitvoert voor bestaande gebruikers. Als een gebruiker al bestaat in Document360 met een andere rol, update dan handmatig zijn rol in Document360 voordat je de synchronisatie opnieuw probeert.
- Beheer SCIM-groepen vanuit Okta, niet vanuit Document360. Document360 maakt altijd een nieuwe groep aan wanneer Okta er een via SCIM pusht. Beheer altijd het SCIM-groepslidmaatschap vanuit Okta om conflicten te voorkomen.
- Monitor je gebruikersquotum voordat je op grote schaal provisioneert. Als de gebruikerslimiet wordt bereikt, kan SCIM geen extra gebruikers provisioneren. Converteer gebruikers naar beoordelaars in Document360 waar nodig om gebruikersslots vrij te maken.
FAQ
Hoe werkt het isTeamAccount attribuut bij SCIM-provisioning?
isTeamAccount attribuut bij SCIM-provisioning?Het is isTeamAccount een legacy booleans attribuut dat je helpt de rol te bepalen die aan een gebruiker is toegewezen wanneer deze in Document360 wordt geprovisioneerd. Wanneer isTeamAccount deze op True is gezet, wordt de gebruiker als gebruiker ingesteld. Wanneer isTeamAccount deze staat op False of left unset, wordt de gebruiker als Lezer ingesteld.
Hoe werkt het userType attribuut en hoe werkt het samen isTeamAccount?
userType attribuut en hoe werkt het samen isTeamAccount?Het userType attribuut is een stringwaarde die bepaalt welke rol aan een gebruiker wordt toegewezen tijdens het provisionen: user provisioneert een User, reviewer provisioneert een Reviewer en reader provisioneert een Reader. Als geen van beide userType attribuut isTeamAccount aanwezig is, wordt de gebruiker standaard als Lezer ingesteld.