Benutzer-Provisioning und -synchronisierung sind ein wichtiger Aspekt des Anwendungsmanagements. Durch Provisioning können Sie den Lebenszyklus von Accounts in Anwendungen verwalten, wie das Erstellen und Löschen von Accounts mit IAM. Beispiel: Wenn Sie dem Benutzer Zugriff auf eine Anwendung wie Google Suite erteilen, wird dieser Benutzeraccount automatisch in Google Suite erstellt. Auf diese Weise können Sie schnell neue Benutzer zu mehreren Anwendungen hinzufügen und das Provisioning von Benutzern von diesen Anwendungen sofort aufheben, wenn sie Rollen ändern oder die Organisation verlassen.
Sie können das Provisioning für App-Kataloganwendungen entweder beim Hinzufügen der App oder später beim Ändern aktivieren und konfigurieren. Wenn Sie das Provisioning über den Schalter aktivieren, werden die folgenden Schritte angezeigt:
-
Konfigurieren Sie die App-Konnektivität.
Konfigurieren Sie die App-Konnektivität, indem Sie Werte für die jeweiligen Felder angeben. Stellen Sie sicher, dass Sie die Konnektivität testen, bevor Sie zur nächsten Konfiguration wechseln.
-
Konfigurieren Sie die Attributzuordnung.
Mit der Attributzuordnung können Sie den Attributen in Ihrem Anwendungsaccount IAM-Attribute zuordnen. Sie können die vorhandene Standardzuordnung prüfen und gegebenenfalls Zuordnungen ändern, indem Sie die entsprechenden Werte in der Liste für das erforderliche Benutzerattribut auswählen. Sie können Zeilen hinzufügen, um fehlende Attribute zuzuordnen, und Zeilen löschen, um doppelte Attributzuordnungen auszuschließen. Um ein neues Attribut für das Provisioning hinzuzufügen, wählen Sie Zeile hinzufügen aus, geben die Attribute in den Spalten für Benutzer und Anwendungsaccount an, und wählen Sie Änderungen speichern aus. Beispiel: Wenn Sie das Feld Externe ID hinzufügen möchten, geben Sie $(user.externalId) in die Spalte Benutzer ein, und wählen Sie dann das entsprechende Feld in der Liste in der Spalte für Anwendungsaccount aus.
-
Wählen Sie die Provisioning-Vorgänge aus.
Jede App, die Provisioning und Synchronisierung unterstützt, kann eine autorisierende App sein. Wenn Autoritative Synchronisierung konfiguriert ist, können Sie Benutzer basierend auf den entsprechenden Daten aus der autorisierenden Anwendung automatisch erstellen, ändern, löschen und aktivieren oder deaktivieren. Die regulären Provisioning-Vorgänge sind jedoch nicht zulässig, während die Autorisierungssynchronisierung aktiviert ist.
Wenn die autoritative Synchronisierung aktiviert ist, werden die folgenden Aktionen automatisch ausgeführt:
-
Wenn ein Benutzer nicht in IAM vorhanden ist, wird er automatisch erstellt.
-
Wenn ein autoritativ synchronisierter Benutzer aus der Anwendung gelöscht wird, wird der Benutzer auch aus IAM gelöscht.
-
Wenn Attribute eines autoritativ synchronisierten Benutzers geändert werden, werden die Attribute für den Benutzer auch in IAM geändert.
Wenn Autoritative Synchronisierung aktiviert ist, sind die Provisioning-Vorgänge von IAM an die Zielanwendung nicht zulässig. Um Benutzer in der Anwendung mit Provisioning zu verwalten, deaktivieren Sie das Kontrollkästchen Automatische Synchronisierung. Die folgenden Provisioning-Vorgänge werden angezeigt:
-
Account erstellen: Wählen Sie diese Option aus, um einen Account zu erstellen, wenn der Benutzer die Berechtigung für die App erhalten hat.
-
Account aktualisieren: Wählen Sie diese Option aus, um diesen Account zu aktualisieren.
-
Account deaktivieren: Wählen Sie diese Option aus, um einen Benutzer, der einer Anwendung zugewiesen ist, zu deaktivieren.
-
Account löschen: Wählen Sie diese Option aus, um den Account in der App zu löschen, wenn der IAM-Benutzer gelöscht wird.
Wichtig
Wenn Sie die Verbindung zwischen der App und IAM konfigurieren, prüfen und verifizieren Sie alle vorab eingegebenen Einträge für Benutzernamens- und Kennwortfelder, da diese möglicherweise nicht die Zugangsdaten für den Zugriff auf die Anwendung sind.
Um das Provisioning und die Synchronisierung für die Anwendung zu konfigurieren, befolgen Sie die spezifischen Anweisungen des Anwendungskatalogs für die Anwendung.
Nachdem Sie das Provisioning aktiviert haben, können Sie die folgenden Aktionen ausführen: