业务问题
企业在日常工作流程中使用的云应用越来越多。每个云应用都有一份包含权限集的用户名单。当用户加入或离开公司时,管理员需要在所有适当的应用中对用户进行配置或取消配置。
这意味着 IT 部门需要为每个用户管理与不同云应用相关联的各个用户 ID 和密码。当配置自动化后,员工可以在加入公司后立即获得所需工具。公司还希望在某用户离开公司时从所有云应用中对该用户取消配置,以降低潜在的安全风险。
在员工使用的各个第三方云应用中管理用户需要一定的管理开销,而您的公司希望减少这方面的开销。目标是自动执行用户配置,以便在一个地方集中创建、更新或删除用户个人资料信息,并反映在所有云应用中。
解决方案
您可以利用 Cloud Identity 和第三方替代方案来实现自动配置。
Cloud Identity 自动配置
Cloud Identity 有一个自动配置连接器目录,这些连接器可以充当 Cloud Identity 与第三方云应用之间的桥梁。
在针对单点登录 (SSO) 设置 SAML 后,您可以设置自动用户配置,以便跨众多云应用创建、修改或删除用户的身份。管理员可以授权 Cloud Identity 将 Cloud Identity 用户的某个子集同步到一个或多个受支持的应用。
优势
- 可让您创建、更新、移除或暂停用户个人资料,从而对完整的用户生命周期进行管理。
- 可让公司在一个地方集中添加或移除相关应用,从而对完整的应用生命周期进行管理。
- 为所有受支持的应用提供一致的用户体验,包括统一的报告、审核日志和精细化事件跟踪。
第三方即时配置
许多支持 SAML 的应用可能会通过即时 (JIT) 配置方法来实现自动配置。有些服务提供商对其 SAML 应用进行了设置,以便当用户访问他们的应用时,应用会检查用户是否拥有账号。如果他们没有 Google 账号,则系统会为其创建一个。
优势
- 由于只需要设置 SAML 应用,因此即所需的设置步骤比较少。
- 对于目前尚无合适的 Cloud Identity 自动配置连接器可以使用的应用,客户可能可以向服务提供商施加影响,以便让其应用支持即时配置。
缺点
- 不支持对用户取消配置,如果某用户离开公司,公司需要通过手动干预的方式来移除该用户的应用许可。
- 并非所有第三方云应用都支持即时配置。
- 与可带来一致体验的 Cloud Identity 自动配置连接器相比,各种第三方连接器在运行方式以及报告内容和日志内容方面可能互不相同。
建议
对于 Cloud Identity SAML 目录中的自动配置所支持的应用,我们建议您使用 Cloud Identity 自动配置连接器。
如果您需要的自动配置连接器不在目录中,您可以与服务提供商合作开发连接器。如果您的服务提供商支持即时配置,您也可以选择即时配置方案。不过,即时配置通常只能处理用户个人资料的创建,而无法处理个人资料的更新、暂停或删除。
第三方身份提供商
如果您在使用第三方身份提供商 (IdP),则仍可为 Cloud Identity 目录中的第三方应用设置自动用户配置。在这种情况下,用户身份验证由第三方身份提供商完成,而 Cloud Identity 则负责管理云应用。
要使用 Cloud Identity 进行自动配置,您的用户需要具备 Cloud Identity 账号。他们可以通过您的第三方身份提供商或者使用 Cloud Identity 账号密码登录账号。
示例
A 公司使用 Cloud Identity 作为主要身份提供商,另外还使用各种软件即服务 (SaaS) 产品进行客户资源管理 (CRM)、消息传递和客户服务单管理。他们希望在这些云应用中自动进行用户配置或取消配置,并将 Cloud Identity 作为单一数据源 (IdP)。
在加入 A 公司的第一天,每位客服人员都会自动获得客户服务单管理应用的使用许可,而每位销售人员则会获得客户资源管理应用的使用许可。另外,所有员工都可获得消息传递应用的使用许可。
A 公司的 IT 部门希望确保只有客户组织中的适当人员能够访问某些第三方应用。这需要将 Cloud Identity 中的用户个人资料同步到分配给特定用户的所有关联第三方应用。
当用户失去对某应用的访问权限时(他们离开公司或不再需要该应用),他们的个人资料会从相应的关联第三方应用中移除,因此许可证不会被阻止。
IT 部门为其云应用设置自动配置:
- 列出员工使用的云应用。
- 在 Cloud Identity SAML 和自动用户配置目录中找到这些应用。
- 逐一为各个应用开启 SSO 并相应地进行 SSO 设置(如果尚未设置 SSO)。
- 为应用设置自动用户配置。
自动配置流程
A 公司聘用了 Maria。在她第一天上班之前,管理员通过为她创建账号将她添加到了 Cloud Identity。管理员还将她添加到一个组织中。Maria 将能够访问分配给该组织的云应用。
Cloud Identity 将 Maria 的身份复制到所有这些云应用中。
在 Maria 上班的第一天,她登录到 Cloud Identity。通过 SSO,她可以使用自己的 Cloud Identity 凭据访问所需的云应用。
相关信息
- 设置将 Google 作为身份提供商的单点登录
- SAML 应用目录:预集成 SAML 应用
- 自动配置连接器:针对用户配置的预配置应用
- Cloud Identity 账号:创建 Cloud Identity 用户账号
- 为组织指定应用:设置您自己的自定义 SAML 应用