随着企业信息化建设的不断深入,用户身份管理和访问控制变得越来越重要。API7 企业版 3.2.11 版本通过支持 SCIM(System for Cross-domain Identity Management)与SSO(Single Sign-On)角色映射,为用户提供了更高效、更便捷的身份管理和 SSO 登录体验。
SCIM 支持:实现跨域身份管理与同步
SCIM 作为一种标准化的用户身份管理协议,极大地简化了不同系统间的用户身份信息交换。API7 企业版 v3.2.11 现已支持 SCIM 标准,让用户身份信息的创建、更新、删除及查询等操作更为便捷。借助 SCIM,企业能够直接在身份提供者(IdP,Identity Provider)上统一管理用户信息,无论是为新员工开设账号,还是停用离职员工的账号,均可在一个平台上完成,并实现自动同步。这种跨域管理方式不仅提高了管理效率,还确保了用户数据的准确性和完整性。
在组织设置页面系新增了 SCIM 相关的配置项,默认为关闭状态。点击右上角启用按钮即可开启 SCIM。
开启后,系统将展示 SCIM 端点的 URL 及 SCIM Token 的复制框。这个 SCIM 端点提供了一套 Restful API,它能让各个身份提供商 IdP 交换用户身份信息,支持各 IdP 进行用户身份信息的交换,包括用户的添加、删除和更新等操作。
SCIM Token 是用于 SCIM 端点鉴权的重要凭证。请注意,Token 在首次开启 SCIM 后会显示一次,若离开当前页面将不再显示。因此,请务必及时复制并妥善保存该 Token,以确保后续操作顺利进行。
API7 SCIM 端点 URL 是我们提供 SCIM 标准化 API 的接入点。
为了确保用户数据来源的单一性,通过 SCIM 同步到平台的用户,通过 SCIM 同步到平台的用户将被标记上为 SCIM 标签。
带有 SCIM 标签的用户不支持在平台内进行删除,这类用户无法在 API7 企业版内直接删除,而需通过 IdP 进行删除操作并同步至 API7 企业版。同样,用户在 IdP 中被禁用时,将无法登录 API7 企业版。
SSO 角色映射:提升 SSO 登录体验
在 API7 企业版 v3.2.11 中,SSO 角色映射功能的加入,进一步提升了 SSO 登录的便捷性。通过引入角色映射功能,系统能够根据用户在 IdP 中的身份和权限,自动为其分配相应的应用访问权限。由此一来,用户无需在 API7 企业版中单独设置权限,从而提高了工作效率和用户体验。
在组织设置页面中,点击新增登录选项,我们可以发现不论选择哪种 Provider,在配置表单最下方都新增了角色映射开关,开启此开关后,将展示配置角色映射的表单:
内置角色(Internal Role):这是 API7 企业版系统中定义的角色,用于控制用户的访问权限和操作范围。在角色映射中,我们可以将外部 IdP 中的角色映射到这些内置角色上,以便在登录时为用户分配相应的权限。
映射的角色属性 (Role Attribute):IdP 返回的用户角色信息的标识符,用于在 IdP 的响应中定位用户的角色数据。假设指定一个属性名,例如“role”或“groups”,系统将根据此属性名从 IdP 的响应中提取角色数据。
查找方式(Operation):用于确定如何从 IdP 的角色数据中匹配到 API7 内置角色的方法。支持精确匹配、模糊匹配,数组匹配等多种方式。例如,如果 IdP 返回的角色值是字符串数组,我们可以选择“数组中的精确匹配”来找到匹配项。
映射的角色值(Role Value):IdP 中代表用户角色的具体值,您需要在此处指定。这些值将与 API7 企业版中的角色进行匹配。例如,如果 IdP 中有一个角色值叫做“Idp super admin”,您可以将其映射到 API7 的“Super Admin”内置角色上。
角色映射功能支持添加多个映射配置,而且其内置角色可以被重复选择,以满足各种复杂的映射需求。启用角色映射后,若用户在 IdP 中的角色信息发生变化,这些更改将在其下次登录时根据新的映射规则进行更新。若用户角色因映射而发生变化,我们会及时通知用户。
在登录选项的详情页面,将展示角色映射配置信息的区域,用户可在此查看详细配置并进行相应操作。
未来规划
API7 企业版将持续优化身份管理和访问控制功能,并探索更多集成方案,以满足企业不断增长的信息安全需求。欢迎试用 API7 企业版,同时我们也期待您的反馈,以进一步完善产品。如果您有任何问题或建议,请随时通过我们的支持渠道与我们联系。感谢您对 API7 企业版的持续支持和关注!