通过SCIM协议同步数据至Atlassian
概述
SCIM(System for Cross-domain Identity Management),主要用于多租户的云应用身份管理。SCIM 2.0建立在一个对象模型上,所有SCIM对象都继承Resource,它有id、externalId和meta属性,RFC7643定义了扩展公共属性的User、Group和EnterpriseUser。
本文主要介绍OneAccess以SCIM协议同步用户至Atlassian的方法。
配置流程
前提条件
- 请确保您已拥有Atlassian的管理员账号。
- 请确保您已拥有OneAccess管理门户的访问权限。
在OneAccess中配置企业应用
- 单击在OneAccess中添加企业应用中添加的企业应用。
- 在通用信息模块,单击“同步集成”后的打开同步集成设置,此处选择SCIM,单击“保存”。
同步集成协议一旦设置不可修改。
- 在通用信息模块,单击“同步集成”后的“配置”,进入“参数配置”页签。
图1 配置同步参数
表1 基础配置 参数
是否必填
说明
SCIM协议接口地址
是
目标系统接收SCIM协议数据结构的接口地址,例如 https://example.com/v2。
认证方式
是
调用SCIM接口前需要进行授权,如未授权则无法调用相关接口。可选Basic Auth、Bearer Token。OneAccess默认Basic Auth。
认证用户名
是
Basic Auth认证方式对应的认证用户名。当认证方式选择Basic Auth时,需填写。
认证密码
是
认证用户名对应的密码。当认证方式选择Basic Auth时,需填写。
应用账号模板
是
需要推送给目标系统的用户请求数据模板。系统默认为SCIM2.0标准协议的数据模板,请根据目标系统的SCIM协议填写。
应用机构模板
是
需要推送给目标系统的机构请求数据模板。系统默认为SCIM2.0标准协议的数据模板,请根据目标系统的SCIM协议填写。
机构资源路径
否
SCIM协议机构资源接口路径,例如标准协议中用户路径为User,用户组路径为Group。
表2 高级配置 参数
是否必填
说明
Content-Type
否
请求头部参数,请根据目标系统的要求填写。一般为application/json、application/scim+json。系统默认为application/scim+json。
Accept
否
请求头部参数,请根据目标系统的要求填写。一般为application/json、application/scim+json。
时间格式
否
JSON时间格式的表达式,如果格式为毫秒值,则填timestamp,其他格式则值为格式表达式,如yyyy-MM-dd HH:mm:ss。
- 选择左侧的“对象模型 > 应用账号模型”,在“属性定义”页签单击“添加”,添加属性,配置参数见表3。
邮箱属性为SCIM同步Atlassian必填属性,在不添加情况下会同步失败。
表3 属性定义 参数
说明
* 属性名
OneAccess映射至目标应用的属性,如email。
* 显示标签
属性名称的标识,建议与属性名对应。
描述
属性名的说明。
* 属性类型
属性值的类型,可在下拉框选择。
格式
只有“属性类型”选择文本时才需要设置该参数,用来设置文本的格式。
是否必填
勾选后,同步用户数据至应用时,该属性必须有值,为空时,会提示“{显示标签}为必填属性”。
是否唯一
只有“属性类型”选择“文本”时才需要设置该参数,勾选后,同步用户数据至应用时,该属性的值具有唯一性,重复时,会提示“{显示标签}”已存在。
是否敏感
只有“属性类型”选择“文本”时才需要设置该参数,勾选后,同步用户数据至应用时,数据隐藏展示,单击可以看到数据内容。
- 切换到“映射定义”页签,单击“编辑”,配置映射。
表4 映射定义 参数
说明
用户
OneAccess映射至应用的属性,如邮箱。
转换方式
OneAccess与应用之间属性的映射方式。
脚本表达式
当转换方式选择脚本转换时,可激活该输入框。
执行方式
OneAccess同步用户数据至目标应用时的方式。
应用账号
应用的账号属性。
- 选择左侧的“授权管理 > 应用账号”,单击“添加账号”,授权访问应用的账号。如需根据策略给用户授权,请参考配置应用中应用账号的授权策略。
对象模型、API权限、应用侧权限等设置请参考配置应用。
在Atlassian中设置同步配置
- 登录Atlassian。
- 配置并验证邮箱域名,设置API密钥,具体可参考Atlassian平台的帮助文档。
验证OneAccess同步数据
- Atlassian查看已同步的用户。
- 在同步集成页面,选择“授权管理 > 同步事件”查看同步事件。