Aprovisionamiento automático del usuario con un IDP externo
XProtect admite la sincronización de identidades entre su Identity Provider y el VMS a través del Sistema de gestión de identidades entre sitios web (SCIM).
SCIM permite el aprovisionamiento automático de usuarios cuando se accede al VMS con un IDP externo. Cualquier cambio en los permisos de los usuarios se refleja instantáneamente en el VMS sin necesidad de un nuevo inicio de sesión.
Para aplicar el aprovisionamiento de usuarios con SCIM habilitado con un IDP externo, el Identity Provider de su sistema debe estar configurado como IDP externo. Si desea más información, consulte Añadir y configurar un IDP externo.
Intercambio de SCIM e identidad del usuario
Durante el intercambio de SCIM, los usuarios que están configurados en su IDP externo se emparejan con los usuarios de XProtect. La propiedad ID de la identidad del usuario se utiliza como identificador principal. Por defecto, la propiedad tiene el valor de una reclamación parcial, pero esto puede variar dependiendo del Identity Provider. Una discrepancia puede dar lugar a que el usuario se aprovisione dos veces en el proceso de inicio de sesión.
La reclamación parcial no es la misma que la reclamación utilizada como fuente de nombres de usuario creados durante la configuración del IDP externo.
Para obtener más información sobre cómo configurar el identificador principal, consulte Introducción de SCIM.
Configuración de un Identity Provider (IDP) para SCIM
En general, para configurar su Identity Provider (IDP) para SCIM, configure un cliente con los permisos de SCIM y asócielo a un proveedor externo.
Si su IDP externo está implementado en su red local, utilice la URL del IDP de VMS en la configuración SCIM del IDP externo para crear la asociación.
Si su IDP externo está en una red que no puede comunicarse directamente con la red en la que está implementado su VMS, puede utilizar la URL proporcionada por una herramienta de tunelización de comunicación como punto de entrada al IDP de su VMS.
Contenido de los nombres de usuario
Para garantizar el correcto funcionamiento del procedimiento de sincronización de SCIM entre su IDP externo y el VMS, los nombres de las identidades aprovisionadas deben cumplir con las convenciones de nomenclatura en XProtect, y no pueden contener ninguno de los siguientes caracteres: ?, \, /, [, ].
Eliminar usuarios
Para gestionar las eliminaciones de usuarios para que se ajusten a sus políticas y requisitos específicos, algunos proveedores de identidad pueden preferir no eliminar a los usuarios del sistema de forma permanente. En su lugar, los usuarios pueden desactivarse, lo que significa que se les trata como si ya no existieran.
Si se requiere una eliminación de forma permanente en esos casos, un administrador XProtect puede habilitar una configuración que elimine permanentemente a los usuarios del VMS después de un número determinado de días (el valor predeterminado es 30). La configuración está habilitada y el período de tiempo se puede establecer a través de una API. Para consultar los pasos que deben seguirse, vea Introducción a SCIM.