Автоматическая подготовка учетных записей пользователей с внешним IDP

XProtect поддерживает синхронизацию удостоверений между вашим поставщиком удостоверений и VMS с помощью системы междоменного управления идентификацией (SCIM).

SCIM обеспечивает автоматическую подготовку учетных записей пользователей при доступе к VMS с помощью внешнего IDP. Любые изменения в правах пользователей мгновенно отражаются в VMS, не требуя нового входа в систему.

Чтобы применить подготовку учетных записей пользователей с помощью внешнего IDP с поддержкой SCIM, поставщик удостоверений в вашей системе должен быть настроен как внешний IDP. Дополнительные сведения приведены в разделе Добавление и настройка внешнего IDP.

Обмен SCIM и идентификация пользователей

Во время обмена SCIM пользователи, настроенные на вашем внешнем IDP, сопоставляются с пользователями XProtect. В качестве основного идентификатора используется свойство ID идентификатора пользователя. По умолчанию свойство имеет значение субзаявки, но оно может меняться в зависимости от поставщика удостоверений личности. Несоответствие может привести к тому, что учетная запись пользователя будет подготовлена дважды в процессе входа в систему.

Субзаявка ― это не то же самое, что заявка, используемая в качестве источника имен пользователей, созданных при конфигурации внешнего IDP.

Дополнительные сведения о том, как настроить первичный идентификатор, см. в разделе Введение в SCIM.

Конфигурация поставщика удостоверений (IDP) для SCIM

В целом, чтобы настроить поставщика удостоверений (IDP) для SCIM, нужно настроить клиент с разрешениями SCIM и связать его с внешним поставщиком.

Если внешний IDP развернут в локальной сети, для связывания используется URL-адрес IDP VMS в конфигурации SCIM внешнего IDP.

Если ваш внешний IDP находится в сети, которая не может напрямую взаимодействовать с сетью, где развернута ваша VMS, можно использовать URL-адрес, предоставляемый средством туннелирования связи, в качестве точки входа в IDP вашей VMS.

Содержимое имен пользователей

Чтобы обеспечить корректную работу процедуры синхронизации SCIM между внешним IDP и VMS, имена подготовленных удостоверений должны соответствовать соглашениям об именовании в XProtect и не должны содержать следующие символы: ?, \, /, [, ].

Удалить пользователей

Чтобы управлять удалением в соответствии со своей политикой и требованиями, некоторые поставщики удостоверений могут не удалять пользователей из системы навсегда. Пользователей можно просто отключить, то есть они больше не будут считаются существующими.

Если в таких случаях требуется необратимое удаление, администратор XProtect может включить параметр, который навсегда удаляет пользователей из VMS через определенное количество дней (по умолчанию ― 30). Параметр включен, а временные рамки можно задать через API. Необходимые действия см. в разделе Введение в SCIM.