Wenn Sie Ihren Control Room mit Ihrem Identitätsanbieter (IdP) integrieren, werden Ihre IdP-Nutzerkonten automatisch im Control Room bereitgestellt.
Wichtig: Nachdem Sie die IdP-Gruppenzuordnung im Control Room konfiguriert und die SAML-Option zur automatischen Bereitstellung von Nutzerkonten im Control Room aktiviert haben, werden Nutzer, Rollen und Lizenzen nur über die IdP-Gruppenzuordnung verwaltet, die im Control Room konfiguriert ist. Stellen Sie daher sicher, dass Sie mindestens eine IdP-Gruppenzuordnung haben, der eine Rolle im Control Room zugewiesen ist, die die Berechtigungen Einstellungen verwalten und Rollen verwalten verwendet. Nutzer, die für die Verwaltung von Control Room IdP-Gruppenzuordnungen zuständig sind, müssen dieser Rolle zugewiesen werden. Wenn eine solche IdP-Gruppenzuordnung im Control Room nicht existiert, gibt es keinen Nutzer, der Control Room IdP-Gruppenzuordnungen verwalten kann.
Anmerkung: Für diese Funktion ist die Enterprise Platform-Lizenz erforderlich. Informationen zu den unterstützten Versionen dieser Funktion finden Sie unter Enterprise Platform.
Der Control Room-Administrator führt die folgenden Aufgaben im Control Room durch, damit die vom Kunden verwalteten IdP-Nutzerkonten automatisch bereitgestellt werden können:
Erstellt eine IdP-Gruppenzuordnung im Control Room.
Weist der IdP-Gruppenzuordnung im Control Room Rollen zu.
Weist der IdP-Gruppenzuordnung im Control Room eine Lizenz zu.
Unabhängig davon, ob Ihr IdP eine der folgenden Konfigurationen aufweist, werden die IdP-Nutzerkonten automatisch im Control Room auf der Grundlage der vom Control Room-Administrator konfigurierten IdP-Gruppenzuordnung bereitgestellt:
Sie haben bestehende IdP-Nutzergruppen.
Sie haben Ihre bestehenden IdP-Nutzergruppen aktualisiert.
Sie haben neue IdP-Nutzergruppen erstellt.
Wenn sich ein IdP-Nutzer, dessen IdP-Nutzerkonto der IdP-Gruppenzuordnung im Control Room zugeordnet ist, beim Control Room anmeldet, validiert der Control Room die Nutzerinformationen und verwaltet die Nutzerinformationen entsprechend. Jede Änderung der Nutzerinformationen wird automatisch für den IdP-Nutzer im Control Room aktualisiert.
Im Folgenden wird der Workflow für die IdP-Gruppenzuordnung beschrieben:
In dem vom Kunden verwalteten IdP werden die Nutzergruppen bereits logisch verwaltet.
Der Control Room-Administrator erstellt IdP-Gruppenzuordnungen und weist Rollen und Lizenz zu. Einzelheiten finden Sie unter IdP-Gruppenzuordnung erstellen.
Der IdP-Nutzer meldet sich mit Single Sign-On (SSO) beim Control Room an. Eine IdP-SAML-Assertion, die die Nutzerdetails enthält, wird vom IdP an den Control Room gesendet.
Der Control Room validiert die IdP-SAML-Assertion mit der im Control Room konfigurierten IdP-Gruppenzuordnung und führt die folgenden Aktionen aus:
Wenn der Nutzer im Control Room nicht vorhanden ist, wird der Nutzer mit den in der IdP-SAML-Assertion enthaltenen Attributen erstellt und den Rollen und der Lizenz zugewiesen, die in der IdP-Gruppenzuordnung konfiguriert sind.
Wenn der Nutzer im Control Room bereits vorhanden und aktiv ist, validiert der Control Room die IdP-SAML-Assertion, um etwaige Änderungen der Nutzerinformationen, Rollen und Lizenz zu ermitteln, und aktualisiert die Informationen zum Nutzer entsprechend.
Wenn der Nutzer im Control Room bereits vorhanden und inaktiv ist, aktiviert der Control Room den Nutzer, validiert die IdP-SAML-Assertion, um etwaige Änderungen der Nutzerinformationen, Rollen und Lizenz zu ermitteln, und aktualisiert die Informationen zum Nutzer entsprechend.
Diese Validierung findet jedes Mal statt, wenn sich der Nutzer beim Control Room anmeldet.
Wenn ein Nutzer Teil mehrerer IdP-Nutzergruppen ist und die entsprechenden IdP-Gruppenzuordnungen mit unterschiedlichen Rollen und Lizenzen im Control Room erstellt werden, kommt es zu folgendem Verhalten:
Dem Nutzer wird eine Kombination von Rollen aus den IdP-Gruppenzuordnungen zugewiesen.
Einem solchen Nutzer wird nur eine Lizenz zugewiesen, und zwar auf Grundlage der bevorzugten Reihenfolge der Lizenzvergabe. Einzelheiten finden Sie unter Bevorzugte Lizenzreihenfolge konfigurieren.
Anmerkung: Die IdP-Administratoren müssen sicherstellen, dass die Control Room-Attributnamen ihren IdP-Attributnamen entsprechen. Nur so sind die erforderlichen Informationen in den IdP-SAML-Assertions enthalten, die während der Nutzerautorisierung vom IdP an den Control Room gesendet werden. Einzelheiten finden Sie unter Beispiele für IdP-Gruppen-Zuordnungen.
