Mappage de groupe IdP

Lorsque vous intégrez votre Control Room à votre fournisseur d\'identité (IdP), vos comptes utilisateurs auprès de votre IdP sont automatiquement approvisionnés dans la Control Room.

Important : Après avoir configuré le mappage de groupe IdP dans la Control Room et activé l\'option d\'approvisionnement automatique des comptes utilisateurs SAML dans la Control Room, les utilisateurs, les rôles et les licences sont gérés uniquement via le mappage de groupe IdP configuré dans la Control Room. Par conséquent, veillez à affecter au moins un mappage de groupe IdP à un rôle dans la Control Room disposant des autorisations Gérer les paramètres et Gérer les rôles. Les utilisateurs chargés de gérer le mappage de groupe IdP de la Control Room doivent être affectés à ce rôle. Si un tel mappage de groupe IdP n\'existe pas dans la Control Room, aucun utilisateur ne sera en mesure de gérer le groupe de mappage IdP de la Control Room.

Reportez-vous à la rubrique Créer un mappage de groupe IdP | Activation de l\'approvisionnement automatique des comptes d\'utilisateurs SAML.

Remarque : Cette fonctionnalité nécessite la licence Enterprise Platform. Pour plus d\'informations sur la version prise en charge par cette fonctionnalité, consultez Plateforme Enterprise.
L\'administrateur de la Control Room effectue les tâches suivantes dans la Control Room afin que les comptes utilisateurs IdP gérés par le client puissent être automatiquement approvisionnés :
  • Crée un mappage de groupe IdP dans la Control Room.
  • Attribue des rôles au mappage de groupe IdP dans la Control Room.
  • Attribue une licence au mappage de groupe IdP dans la Control Room.
Reportez-vous à la rubrique Créer un mappage de groupe IdP.
Que votre IdP ait ou non l\'une des configurations suivantes, les comptes utilisateurs IdP sont automatiquement approvisionnés dans la Control Room en fonction du mappage de groupe IdP configuré par l\'administrateur de la Control Room :
  • Vous disposez de groupes utilisateurs IdP existants.
  • Vous avez mis à jour vos groupes utilisateurs IdP existants.
  • Vous avez créé de nouveaux groupes utilisateurs IdP.

Lorsqu\'un utilisateur IdP dont le compte utilisateur IdP est associé au mappage de groupe IdP dans la Control Room se connecte à la Control Room, celle-ci valideControl Room les informations de l\'utilisateur et les gère en conséquence. Toute modification des informations relatives à l\'utilisateur est automatiquement mise à jour pour l\'utilisateur IdP dans la Control Room.

Le flux de travail pour le mappage de groupes IdP est le suivant :
Image montrant le flux de travail de mappage de groupe IdP
  1. Dans l\'IdP géré par le client, les groupes utilisateurs sont déjà gérés de manière logique.
  2. L\'administrateur de la Control Room crée un mappage de groupe IdP et attribue des rôles et une licence. Reportez-vous à la rubrique Créer un mappage de groupe IdP.
  3. L\'administrateur de la Control Room active l\'approvisionnement automatique des comptes d\'utilisateurs. Reportez-vous à la rubrique Activation de l\'approvisionnement automatique des comptes d\'utilisateurs SAML.
  4. L\'utilisateur IdP se connecte à la Control Room par le biais de l\'authentification unique (SSO). Une assertion SAML IdP comprenant les détails de l\'utilisateur est envoyée par l\'IdP à la Control Room.
  5. La Control Room valide l\'assertion SAML IdP avec le mappage de groupe IdP configuré dans la Control Room et effectue les actions suivantes :
    • Si l\'utilisateur n\'existe pas dans la Control Room, il est créé avec les attributs inclus dans l\'assertion SAML IdP et se voit attribuer les rôles et la licence configurés dans le mappage de groupe IdP.
    • Si l\'utilisateur existe déjà dans la Control Room et qu\'il est actif, la Control Room valide l\'assertion SAML IdP pour identifier tout changement dans les informations, les rôles et la licence de l\'utilisateur et met à jour les informations de l\'utilisateur en conséquence.
    • Si l\'utilisateur existe déjà dans la Control Room et qu\'il est inactif, la Control Room active l\'utilisateur, valide l\'assertion SAML IdP pour identifier tout changement dans les informations, les rôles et la licence de l\'utilisateur, et met à jour les informations de l\'utilisateur en conséquence.
    Cette validation a lieu à chaque connexion de l\'utilisateur à la Control Room.
Si un utilisateur fait partie de plusieurs groupes utilisateurs IdP et que les mappages de groupes IdP correspondants dotés de différents rôles et licences sont créés dans la Control Room, les comportements suivants sont observés :
  • L\'utilisateur se voit attribuer une combinaison de rôles à partir des mappages de groupes IdP.
  • Une seule licence est allouée à l\'utilisateur en fonction de l\'ordre d\'allocation des licences. Reportez-vous à la rubrique Configuration de l'ordre de préférence des licences.
Remarque : Les administrateurs de l\'IdP doivent veiller à associer les noms d\'attributs de la Control Room aux noms d\'attributs de l\'IdP afin que les informations requises soient incluses dans les assertions SAML IdP envoyées par l\'IdP à la Control Room lors de l\'autorisation de l\'utilisateur. Reportez-vous à la rubrique Exemples de mappages de groupes IdP.