Benutzer-Provisioning und -synchronisierung sind ein wichtiger Aspekt des Anwendungsmanagements. Durch Provisioning können Sie den Lebenszyklus von Accounts in Anwendungen verwalten, wie das Erstellen und Löschen von Accounts mit IAM. Beispiel: Wenn Sie dem Benutzer Zugriff auf eine Anwendung wie Google Suite erteilen, wird dieser Benutzeraccount automatisch in Google Suite erstellt. Auf diese Weise können Sie schnell neue Benutzer zu mehreren Anwendungen hinzufügen und das Provisioning von Benutzern von diesen Anwendungen sofort aufheben, wenn sie Rollen ändern oder die Organisation verlassen.
Sie können das Provisioning für App-Kataloganwendungen entweder beim Hinzufügen der App oder später beim Ändern aktivieren und konfigurieren. Wenn Sie das Provisioning über den Schalter aktivieren, werden die folgenden Schritte angezeigt:
-
Konfigurieren Sie die App-Konnektivität.
Konfigurieren Sie die App-Konnektivität, indem Sie Werte für die jeweiligen Felder angeben. Stellen Sie sicher, dass Sie Konnektivität testen, bevor sie zur nächsten Konfiguration wechseln.
-
Konfigurieren Sie die Attribute-Zuordnung.
Mit der Attributzuordnung können Sie den Attributen in Ihrem Anwendungsaccount IAM-Attribute zuordnen. Sie können die vorhandene Standardzuordnung prüfen und gegebenenfalls Zuordnungen ändern, indem Sie die entsprechenden Werte in der Liste für das erforderliche Benutzerattribut auswählen. Sie können Zeilen hinzufügen, um fehlende Attribute zuzuordnen, und Zeilen löschen, um doppelte Attributzuordnungen auszuschließen. Um ein neues Attribut für das Provisioning hinzuzufügen, wählen Sie Zeile hinzufügen, geben die Attribute in den Spalten für den Benutzer und das Anwendungskonto an, und wählen Sie dann Änderungen speichern aus. Beispiel: Wenn Sie das Feld Externe ID hinzufügen möchten, geben Sie $(user.externalId) in die Spalte Benutzer ein, und wählen Sie das entsprechende Feld aus der Liste in der Spalte für Anwendungsaccounts aus.
-
Wählen Sie die Provisioning-Vorgänge aus.
Jede App, die Provisioning und Synchronisierung unterstützt, kann eine autorisierende App sein. Wenn Autoritative Synchronisierung konfiguriert ist, können Sie Benutzer basierend auf den entsprechenden Daten aus der autorisierenden Anwendung automatisch erstellen, ändern, löschen und aktivieren oder deaktivieren. Die regulären Provisioning-Vorgänge können nicht ausgeführt werden, während die Autorisierungssynchronisierung aktiviert ist.
Wenn die autoritative Synchronisierung aktiviert ist, werden die folgenden Aktionen automatisch ausgeführt:
-
Wenn ein Benutzer in IAM nicht vorhanden ist, wird er automatisch erstellt.
-
Wenn ein autoritativ synchronisierter Benutzer aus der Anwendung gelöscht wird, wird der Benutzer auch aus IAM gelöscht.
-
Wenn Attribute eines autoritativ synchronisierten Benutzers geändert werden, werden die Attribute für den Benutzer auch in IAM geändert.
Wenn Autoritative Synchronisierung aktiviert ist, sind die Provisioning-Vorgänge von IAM an die Zielanwendung nicht zulässig. Um Benutzer in der Anwendung mit Provisioning zu verwalten, aktivieren Sie das Kontrollkästchen "Autoritative Synchronisierung". Die folgenden Provisioning-Vorgänge werden angezeigt:
-
Account erstellen: Wählen Sie diese Option aus, um einen Account zu erstellen, wenn der Benutzer eine Berechtigung für die App erhält.
-
Account aktualisieren: Wählen Sie die Option aus, um diesen Account zu aktualisieren.
-
Account deaktivieren: Wählen Sie diese Option aus, um einen Benutzer zu deaktivieren, der einer Anwendung zugewiesen ist.
-
Account löschen: Wählen Sie diese Option aus, um den Account in der App zu löschen, wenn der IAM-Benutzer gelöscht wird.
Wichtig
Wenn Sie die Verbindung zwischen der App und IAM konfigurieren, prüfen und verifizieren Sie alle vorab ausgefüllten Einträge von Benutzernamens- und Kennwortfeldern, da diese möglicherweise nicht die Zugangsdaten für den Zugriff auf Ihre Anwendung sein.
Um das Provisioning und die Synchronisierung für die Anwendung zu konfigurieren, befolgen Sie die spezifischen Anweisungen des Anwendungskatalogs für die Anwendung.
Nachdem Sie das Provisioning aktiviert haben, können Sie die folgenden Aktionen ausführen: