研究使用 SCIM 配置 OneLogin 的功能 - 将是一个围绕第三方应用程序(JIRA/Confluence DC,如果重要的话)的 SCIM 支持的自定义应用程序。实际的配置设置看起来很简单,但我一直很难找到任何清晰的行为。
OneLogin 是根据用户对应用程序的权限分配提前执行配置操作,还是在用户尝试登录应用程序时按需/JIT 执行配置操作?
用例是我有一个许可证席位有限的应用程序,我希望“向公司中的任何人开放”。我希望仅在访问时分发许可证,但用户无需采取任何特殊操作。
如果正常的“配置”功能都是主动的 - 有没有办法设置任何类型的按需模式?
我对 OneLogin 具体了解不多,但从广义上讲,身份提供商和应用程序之间的配置是主动进行的。登录时的即时配置通常是通过使用登录时提供给应用程序的 SAML/OIDC 令牌中的可用数据来完成的。
除了向应用程序供应商抱怨引入未经许可的用户的概念之外,我可以确定的另一个可能有帮助的流程是基于 SSO 使用的 JIT 供应流程,但随后身份提供者中的某些内容会被接收用户已访问该应用程序并将其包含在 SCIM 配置范围内。这可能会提供超出 SSO 令牌中包含的更丰富的数据,并且即使用户在更新后没有(或无法)再次登录,也将涵盖更新和停用/删除。
我已经使用 OneLogin 5-6 年了。当用户通过角色或手动分配给应用程序时,OneLogin 中的 SCIM 配置就会发生。
您可以在配置页面上配置数据如何传递到应用程序。