SCIM 自动预配
Alteryx 支持通过跨域身份管理系统 (SCIM) 协议对 Alteryx One Platform 用户进行预配、更新和取消预配的功能。通过启用 SCIM,您的组织可以使用您自己的身份提供商 (IdP) 中的安全组来设置用户对各个工作区、产品和功能的访问权限。
先决条件
您的 IdP 支持 SCIM 2.0 协议。
您可以直接访问您的身份提供程序,并获得足够的管理权限。
您可以直接访问您的 Alteryx One Platform 工作区,并已获得工作区管理员角色。
概览
提示
当通过组管理用户访问权限时,自动配置最有效。在您的 IdP 中,可以考虑使用安全组来管理应用程序访问权限,而不是逐个为应用程序分配用户。
对用户和用户组进行预配
当启用 SCIM 并且首次将某个安全组分配给 Alteryx 应用程序后,系统将在相应的工作区内创建一个用户组。在 IdP 中分配给该安全组的用户将被邀请加入工作区(如果适用),并成为该工作区内相应用户组的成员。如果已在 Alteryx One Platform 中将一个或多个角色分配给该用户组,这些用户也将继承这些角色和相关权限。
重要
当启用 SCIM 后,工作区管理员仍然可以手动管理用户和用户组,但是 SCIM 将覆盖手动更改。
配置文件更新
当启用 SCIM 后,如果已在 IdP 或源目录中更新某个用户的名称,则该用户的名称也将在 Alteryx One Platform 中进行更新。此更改将反映在整个 Alteryx One Platform 中,而与该用户是哪些其他或额外工作区的成员无关。
对用户和用户组取消预配
当启用 SCIM 后,如果从 IdP 应用程序中移除了某个安全组,则系统将从该工作区中删除相应的用户组。对于作为该用户组成员的用户来说,如果其访问权限是仅通过分配给该用户组的角色授予的,则他们可能会失去对某些产品和功能的访问权限。如果某个用户仅通过该安全组获得工作区访问权限,则该用户也将被禁用并且其角色会被移除,进而其无法再访问和进入该工作区。
审计日志事件
SCIM 自动预配导致的系统更新将在所有审计事件有效负载中包含 CUSTOMER_SCIM 作为 originating_service 值。这使您可以更轻松地将 IdP 中更改所导致的自动更新与工作区管理员所做的手动更改区分开来。
配置
启用 SCIM
在 Alteryx One Platform 中,导航至工作区的管理控制台。
在左侧导航菜单中,选择用户预配。
选择自动用户预配。
选择启用。
在身份验证类型下拉列表中,选择“Alteryx 令牌身份验证”。
选择下一步。
记下并复制租户 URL。您稍后会需要此令牌。
选择生成令牌。
在生命周期(天)字段中,输入“365”。
选择生成。
记下并复制 SCIM 令牌。您稍后会需要此令牌。
选择关闭。
请参考您的 IdP 的相关文档,了解如何使用从您的工作区中复制的租户 URL 和 SCIM 令牌来启用 SCIM。
分配用户组
在您的 IdP 中,将一个或多个安全组分配给工作区的相应应用程序。
权限组
在 Alteryx One Platform 中,导航至工作区的管理控制台。
在左侧导航菜单中,选择用户组。
将鼠标指针悬停在用户组上,然后使用三点菜单选择分配角色。
选择一个或多个角色。
选择保存。
要了解有关为用户组分配角色的更多信息,请参阅用户组。