Asignación de grupos de IdP

Cuando integra su Control Room con su proveedor de identidad (IdP), las cuentas de usuario de su IdP se aprovisionan automáticamente en la Control Room.

Importante: Después de configurar la asignación de grupos de IdP en la Control Room y habilitar la opción de aprovisionamiento automático de cuentas de usuario SAML en la Control Room, los usuarios, los roles y las licencias se gestionan únicamente a través de la asignación de grupos de IdP configurada en la Control Room. Por lo tanto, asegúrese de tener al menos una asignación de grupos de IdP a la que se le haya asignado un rol en la Control Room que utilice los permisos Administrar configuración y Administrar roles. A los usuarios responsables de administrar la asignación de grupos de IdP en la Control Room se les debe asignar este rol. Si dicha asignación de grupos de IdP no existe en la Control Room, no habrá ningún usuario que pueda gestionar la asignación de grupos de IdP en la Control Room.

Consulte Crear asignación de grupo de IDP | Habilitar la designación automática de cuenta de usuario de SAML.

Nota: Esta función requiere la licencia Plataforma Enterprise. Para obtener información sobre la versión compatibles con esta función, consulte Enterprise Platform.
El administrador de la Control Room realiza las siguientes tareas en la Control Room para que las cuentas de usuario de IdP administradas por el cliente se puedan aprovisionar de manera automática:
  • Crea una asignación de grupos de IdP en la Control Room.
  • Asigna roles a la asignación de grupos de IdP en la Control Room.
  • Asigna una licencia a la asignación de grupos de IdP en la Control Room.
Consulte Crear asignación de grupo de IDP.
Independientemente de si su IdP tiene una de las siguientes configuraciones, las cuentas de usuario de IdP se aprovisionan automáticamente en la Control Room según la asignación de grupos de IdP que haya configurado el administrador de la Control Room:
  • Tiene grupos de usuarios de IdP existentes.
  • Actualizó sus grupos de usuarios de IdP existentes.
  • Creó nuevos grupos de usuarios de IdP.

Cuando un usuario de IdP cuya cuenta de usuario de IdP está asignada a la asignación de grupos de IdP en la Control Room inicia sesión en la Control Room, la Control Room valida y gestiona la información del usuario en consecuencia. Cualquier cambio en la información del usuario se actualiza de manera automática para el usuario de IdP en la Control Room.

El siguiente es el flujo de trabajo para la asignación de grupos de IdP:
Imagen que muestra el flujo de trabajo de asignación de grupos de IdP
  1. En el IdP gestionado por el cliente, los grupos de usuarios ya se gestionan de forma lógica.
  2. El administrador de la Control Room crea asignaciones de grupos de IdP y asigna roles y licencias. Consulte Crear asignación de grupo de IDP.
  3. El administrador de la Control Room habilita el designación automática de cuentas de usuario. Consulte Habilitar la designación automática de cuenta de usuario de SAML.
  4. El usuario de IdP inicia sesión en la Control Room mediante el inicio de sesión único (SSO). Se envía una aserción SAML de IdP que incluye los detalles del usuario desde el IdP a la Control Room.
  5. La Control Room valida la aserción SAML con la asignación de grupos de IdP configurada en la Control Room y realiza las siguientes acciones:
    • Si el usuario no existe en la Control Room, el usuario se crea con los atributos incluidos en la aserción SAML de IdP y se le asignan los roles y la licencia según lo configurado en la asignación de grupos de IdP.
    • Si el usuario ya existe en la Control Room y está activo, la Control Room valida la aserción SAML de IdP para identificar cualquier cambio en la información, la licencia y los roles del usuario, y actualiza la información del usuario según corresponda.
    • Si el usuario ya existe en la Control Room y está inactivo, la Control Room activa el usuario, valida la aserción SAML de IdP para identificar cualquier cambio en la información, la licencia y los roles del usuario, y actualiza la información del usuario según corresponda.
    Esta validación ocurre cada vez que el usuario inicia sesión en la Control Room.
Cuando un usuario forma parte de varios grupos de usuarios de IdP y las asignaciones de grupos de IdP correspondientes con diferentes roles y licencias se crean en la Control Room, se observan los siguientes comportamientos:
Nota: Los administradores de IdP deben asegurarse de asignar los nombres de atributos de la Control Room a sus nombres de atributos de IdP para que la información requerida se incluya en las aserciones de IdP de SAML que se envían desde el IdP a la Control Room durante la autorización del usuario. Consulte Ejemplos de asignaciones de grupos de IdP.