更新时间:2024-12-18 GMT+08:00
分享

通过SCIM协议同步数据至Atlassian

概述

SCIM(System for Cross-domain Identity Management),主要用于多租户的云应用身份管理。SCIM 2.0建立在一个对象模型上,所有SCIM对象都继承Resource,它有id、externalId和meta属性,RFC7643定义了扩展公共属性的User、Group和EnterpriseUser。

本文主要介绍OneAccess以SCIM协议同步用户至Atlassian的方法。

配置流程

前提条件

  • 请确保您已拥有Atlassian的管理员账号。
  • 请确保您已拥有OneAccess管理门户的访问权限。

在OneAccess中添加企业应用

  1. 登录OneAccess管理门户。
  2. 在导航栏中,单击“资源 > 应用”。
  3. 在企业应用页面,单击自建应用下的“添加自建应用”,设置Logo和名称,单击“保存”。

在OneAccess中配置企业应用

  1. 单击在OneAccess中添加企业应用中添加的企业应用
  2. 在通用信息模块,单击“同步集成”后的打开同步集成设置,此处选择SCIM,单击“保存”。

    同步集成协议一旦设置不可修改。

  3. 在通用信息模块,单击“同步集成”后的“配置”,进入“参数配置”页签。

    图1 配置同步参数
    表1 基础配置

    参数

    是否必填

    说明

    SCIM协议接口地址

    目标系统接收SCIM协议数据结构的接口地址,例如 https://example.com/v2。

    认证方式

    调用SCIM接口前需要进行授权,如未授权则无法调用相关接口。可选Basic Auth、Bearer Token。OneAccess默认Basic Auth。

    认证用户名

    Basic Auth认证方式对应的认证用户名。当认证方式选择Basic Auth时,需填写。

    认证密码

    认证用户名对应的密码。当认证方式选择Basic Auth时,需填写。

    应用账号模板

    需要推送给目标系统的用户请求数据模板。系统默认为SCIM2.0标准协议的数据模板,请根据目标系统的SCIM协议填写。

    应用机构模板

    需要推送给目标系统的机构请求数据模板。系统默认为SCIM2.0标准协议的数据模板,请根据目标系统的SCIM协议填写。

    机构资源路径

    SCIM协议机构资源接口路径,例如标准协议中用户路径为User,用户组路径为Group。

    表2 高级配置

    参数

    是否必填

    说明

    Content-Type

    请求头部参数,请根据目标系统的要求填写。一般为application/json、application/scim+json。系统默认为application/scim+json。

    Accept

    请求头部参数,请根据目标系统的要求填写。一般为application/json、application/scim+json。

    时间格式

    JSON时间格式的表达式,如果格式为毫秒值,则填timestamp,其他格式则值为格式表达式,如yyyy-MM-dd HH:mm:ss。

  4. 选择左侧的“对象模型 > 应用账号模型”,在“属性定义”页签单击“添加”,添加属性,配置参数见表3

    邮箱属性为SCIM同步Atlassian必填属性,在不添加情况下会同步失败。

    表3 属性定义

    参数

    说明

    * 属性名

    OneAccess映射至目标应用的属性,如email。

    * 显示标签

    属性名称的标识,建议与属性名对应。

    描述

    属性名的说明。

    * 属性类型

    属性值的类型,可在下拉框选择。

    格式

    只有“属性类型”选择文本时才需要设置该参数,用来设置文本的格式。

    是否必填

    勾选后,同步用户数据至应用时,该属性必须有值,为空时,会提示“{显示标签}为必填属性”。

    是否唯一

    只有“属性类型”选择“文本”时才需要设置该参数,勾选后,同步用户数据至应用时,该属性的值具有唯一性,重复时,会提示“{显示标签}”已存在。

    是否敏感

    只有“属性类型”选择“文本”时才需要设置该参数,勾选后,同步用户数据至应用时,数据隐藏展示,单击可以看到数据内容。

  5. 切换到“映射定义”页签,单击“编辑”,配置映射。

    表4 映射定义

    参数

    说明

    用户

    OneAccess映射至应用的属性,如邮箱。

    转换方式

    OneAccess与应用之间属性的映射方式。

    脚本表达式

    转换方式选择脚本转换时,可激活该输入框。

    执行方式

    OneAccess同步用户数据至目标应用时的方式。

    应用账号

    应用的账号属性。

  6. 选择左侧的“授权管理 > 应用账号”,单击“添加账号”,授权访问应用的账号。如需根据策略给用户授权,请参考配置应用中应用账号的授权策略。

    对象模型、API权限、应用侧权限等设置请参考配置应用

在Atlassian中设置同步配置

  1. 登录Atlassian
  2. 配置并验证邮箱域名,设置API密钥,具体可参考Atlassian平台的帮助文档。

验证OneAccess同步数据

  1. Atlassian查看已同步的用户。

  2. 在同步集成页面,选择“授权管理 > 同步事件”查看同步事件。

相关文档