跨云应用自动进行用户配置

业务问题

企业在日常工作流程中使用的云应用越来越多。每个云应用都有一份包含权限集的用户名单。当用户加入或离开公司时，管理员需要在所有适当的应用中对用户进行配置或取消配置。

这意味着 IT 部门需要为每个用户管理与不同云应用相关联的各个用户 ID 和密码。当配置自动化后，员工可以在加入公司后立即获得所需工具。公司还希望在某用户离开公司时从所有云应用中对该用户取消配置，以降低潜在的安全风险。

在员工使用的各个第三方云应用中管理用户需要一定的管理开销，而您的公司希望减少这方面的开销。目标是自动执行用户配置，以便在一个地方集中创建、更新或删除用户个人资料信息，并反映在所有云应用中。

您可以利用 Cloud Identity 和第三方替代方案来实现自动配置。

Cloud Identity 有一个自动配置连接器目录，这些连接器可以充当 Cloud Identity 与第三方云应用之间的桥梁。

在针对单点登录 (SSO) 设置 SAML 后，您可以设置自动用户配置，以便跨众多云应用创建、修改或删除用户的身份。管理员可以授权 Cloud Identity 将 Cloud Identity 用户的某个子集同步到一个或多个受支持的应用。

优势

许多支持 SAML 的应用可能会通过即时 (JIT) 配置方法来实现自动配置。有些服务提供商对其 SAML 应用进行了设置，以便当用户访问他们的应用时，应用会检查用户是否拥有账号。如果他们没有 Google 账号，则系统会为其创建一个。

优势

缺点

对于 Cloud Identity SAML 目录中的自动配置所支持的应用，我们建议您使用 Cloud Identity 自动配置连接器。

如果您需要的自动配置连接器不在目录中，您可以与服务提供商合作开发连接器。如果您的服务提供商支持即时配置，您也可以选择即时配置方案。不过，即时配置通常只能处理用户个人资料的创建，而无法处理个人资料的更新、暂停或删除。

如果您在使用第三方身份提供商 (IdP)，则仍可为 Cloud Identity 目录中的第三方应用设置自动用户配置。在这种情况下，用户身份验证由第三方身份提供商完成，而 Cloud Identity 则负责管理云应用。

要使用 Cloud Identity 进行自动配置，您的用户需要具备 Cloud Identity 账号。他们可以通过您的第三方身份提供商或者使用 Cloud Identity 账号密码登录账号。

A 公司使用 Cloud Identity 作为主要身份提供商，另外还使用各种软件即服务 (SaaS) 产品进行客户资源管理 (CRM)、消息传递和客户服务单管理。他们希望在这些云应用中自动进行用户配置或取消配置，并将 Cloud Identity 作为单一数据源 (IdP)。

在加入 A 公司的第一天，每位客服人员都会自动获得客户服务单管理应用的使用许可，而每位销售人员则会获得客户资源管理应用的使用许可。另外，所有员工都可获得消息传递应用的使用许可。

A 公司的 IT 部门希望确保只有客户组织中的适当人员能够访问某些第三方应用。这需要将 Cloud Identity 中的用户个人资料同步到分配给特定用户的所有关联第三方应用。

当用户失去对某应用的访问权限时（他们离开公司或不再需要该应用），他们的个人资料会从相应的关联第三方应用中移除，因此许可证不会被阻止。

IT 部门为其云应用设置自动配置：

A 公司聘用了 Maria。在她第一天上班之前，管理员通过为她创建账号将她添加到了 Cloud Identity。管理员还将她添加到一个组织中。Maria 将能够访问分配给该组织的云应用。

Cloud Identity 将 Maria 的身份复制到所有这些云应用中。

通过 SSO 登录云应用。

在 Maria 上班的第一天，她登录到 Cloud Identity。通过 SSO，她可以使用自己的 Cloud Identity 凭据访问所需的云应用。

通过 SSO 登录云应用。