使用 Okta 配置 SCIM 预配

 

本指南介绍了现有 Okta 和 Udemy Business 客户使用跨域身份管理系统 (SCIM 2.0) 配置 Udemy Business 用户和群组的自动预配、取消预配、配置文件更新和群组管理所需的步骤。

如果您已经配置了 SCIM 预配,想要使用新版 Udemy Business 应用,则需要将现有集成迁移到持有者令牌身份验证。

注意:

  • 如果您已经在 Okta 中为 Udemy Business 启用了 SSO 登录,则无需重新配置 SSO。
  • 如果我们的其中一个团队已经通过手动配置为您设置了 SSO,则您应当将我们新的 Udemy Business 应用添加到您的 Okta 帐户中。您可以通过搜索 Udemy Business 在应用程序中找到该应用。由于这是我们的应用在 Okta 中的新版本,因此现有客户可能需要先重新配置单点登录 (SSO),然后再启用 SCIM 预配。(逐步操作说明如下)。
  • 通过 Okta 预配的用户在首次登录 Udemy Business 应用程序之前不会使用有效的许可证。
  • SCIM 管理的用户和群组只能在 Okta 中更改。
  • 当启用 SCIM 时,Udemy 使用 SCIM 协议通过 SAML 进行属性映射。由于群组不是 SCIM 用户属性,如果您以前将属性映射为仅 SAML 配置的一部分,则群组将不会通过 SAML 传递。
  • Udemy Business 的 SCIM API 令牌有效期约为两年。管理员将收一则通知,告知他们:
    • 令牌到期前 30 天
    • 令牌到期后

目录

SCIM 预配功能

支持以下 SCIM 预配功能:

  • 从 Okta 预配用户
    • 在 Okta 中分配了 Udemy Business 应用的用户将在 Udemy Business 中预配。
    • 注意:如果用户是从 Okta 预配 SCIM 的,则不会收到自动生成的邀请电子邮件。
  • 推送个人资料更新
    • 对于 Okta 中与 Udemy Business 关联的用户,系统会将通过 Okta 对用户个人资料所做的更新推送到 Udemy Business。
  • 推送用户停用
    • 通过 Okta 停用用户或禁用用户对应用程序的访问将停用 Udemy Business 上的用户并将其从所有群组中移除。
    • 注意:停用的用户将保留他们的学习数据,用于生成报告或将来重新激活。要永久删除 SCIM 管理的停用用户,您首先需要断开该用户的 SCIM 连接,Udemy Business 支持可以帮助执行断开操作。
  • 重新激活用户
    • 您可以在 Udemy Business 中重新激活用户,方法是通过 Okta 将该应用重新分配给用户。
    • 注意:重新激活的用户将收到一封来自 Udemy 的自动生成的电子邮件,告知他们已被重新激活。
  • 群组推送
    • 系统会将群组及其成员推送到 Udemy Business。
    • 注意:管理群组仅限于最初从 Okta 推送的群组,因为我们不会发送在 Udemy Business 上创建的群组信息。
  • 导入用户和群组
    • 如果您在 Okta 中切换到新的 Udemy Business 应用,则可以将现有集成中的用户和群组导入到新的集成中。

SCIM 管理的用户的姓名和电子邮件地址旁边有一个灰色的 SCIM 标志。设置了状态 SCIM 的用户在首次登录之前不会使用活动许可证:

 

开始之前

如果您没有为 Okta 启用 SSO,或者您已经由我们的团队手动配置设置了 SSO,请先在此处完成 Okta SSO 配置步骤

  • 您可以通过在 Okta 控制面板中隐藏 Udemy Business 磁贴来避免任何 SSO 停机,直到新的 SSO 和 SCIM 配置完成。
  • 应用程序可见性旁边,单击不向用户显示应用程序图标

配置步骤

1. 在 Udemy Business 应用中,选择常规选项卡,然后填写以下字段:

  • 子域:Udemy Business 域名
  • 域:udemy.com
  • 受众 URI(SP 实体 ID):PingConnect

2. 在预配选项卡上,单击配置 API 集成

configure_api_integration.png

3. 选择启用 API 集成并添加 API 令牌。

您可以通过以下导航路径在 Udemy Business 帐户中生成和查看 API 令牌:管理 > 设置 > 预配 (SCIM)

 

4. 单击测试 API 凭据,此时应当显示一条消息,表明您已成功完成 SSO 集成。如果没有,请向 Udemy Business 支持团队发送消息,提供显示的错误消息。

5. 单击保存,系统会将您重定向到应用程序预配配置页面。

6. 在设置 > 转到应用中,单击编辑以启用各个功能。

要使用我们推荐的所有功能,建议启用创建用户更新用户属性停用用户。单击保存

provisioning_to_app_save.png

 

provisioning_to_app_edit.png

7. (可选)配置文件属性:在您的 Okta 帐户中,转到目录 > 配置文件编辑器 > 您的应用程序名称。 

8. 在配置文件编辑器页面上,单击添加属性

9. 在添加属性页面上,使用以下属性填写这些字段:

属性名称 数据类型 显示名称 变量名称 外部名称 外部名称空间 eNUM 
licenseTypes
 字符串数组 许可证类型 licenseTypes licenseTypes urn:ietf:params:scim:schemas:extension:udemy:2.0:User 已启用 
licensePoolName
 string 许可证池名称 licensePoolName licensePoolName urn:ietf:params:scim:schemas:extension:udemy:2.0:User   
外部 ID
 string Udemy 外部 ID UdemyExternalId 外部 ID urn:ietf:params:scim:schemas:core:2.0:User   
employeeNumber
 string employeeNumber employeeNumber employeeNumber urn:ietf:params:scim:schemas:extension:enterprise:2.0:User   
标题
 string 标题 Udemytitle 标题 urn:ietf:params:scim:schemas:core:2.0:User  

10. 单击添加属性保存并添加另一个

添加属性后,您应该会看到类似以下的内容被添加到配置文件中。

将用户分配到许可证池

要将用户分配到许可证池:

1. 在 Okta 管理员页面的左侧,导航到应用程序 → 应用程序

2. 选择您的应用程序。

3. 转到分配选项卡。

4. 单击分配,然后单击分配给人员分配给群组

5. 输入该用户或群组的属性。

用户属性:

群组属性:

6. 单击保存并返回

您现已添加具有“许可证池名称”属性的用户或群组,这些用户将被分配到您指定的特定许可证池。

7. 导航到分配选项卡,将 Udemy Business 分配给单个用户或整个群组。

分配的用户将在添加后自动配置,在对其个人资料进行更改时自动修改,并在其从分配中移除时自动停用。

8. 导航到推送群组选项卡,将群组及其成员信息发送到 Udemy Business。

push_groups_to_ub.png

9. 单击 + 推送群组,然后选择要推送到 Udemy Business 的群组。

您可以选择每个群组,或者创建一个自动规则。

find_groups_ub.png

10. 选择群组搜索条件,然后为要向 Udemy Business 发送信息的群组填写请求信息。

push_groups_by_name.png

11. 选择群组后,选择立即推送群组成员以在选择群组后立即发送群组和群组内成员,然后单击保存

12. 重复这些步骤,为要发送到 Udemy Business 的所有群组选择群组。

注意:设置后,Udemy Business 将不允许更改 SCIM 管理的用户或群组。

 

将现有集成迁移到持有者令牌以允许在 Okta 中使用新版 Udemy Business 应用

如果您已经使用 Okta 配置了 SCIM 预配,想要在 Okta 中使用 Udemy Business 应用程序,则需要先迁移到持有者令牌身份验证。请按照以下步骤迁移您的集成。

第 1 步:在 Udemy Business 中生成令牌

1. 在 Udemy Business 管理员帐户中,导航到管理 > 设置 > 预配 (SCIM)

如果您已经拥有基于用户名/密码的 Okta 集成,您将在操作面板上看到这些凭据。

2. 单击生成令牌,您将会看到一个确认模态框,询问您是否要为 SCIM 集成生成持有者令牌。

  • 确认后,您先前的凭据将不再显示在“预配 SCIM”中,但这些凭据对其他现有集成(例如 LMS、用于学习活动的公共 API 等)仍然有效。 

结果

生成后,将会显示成功消息,并且持有者令牌将出现在预配 SCIM 页面上。您可以单击复制,复制持有者令牌用于 Okta 设置。 

刷新页面后,成功消息将会消失,并且下拉选项将从 Okta(旧版)更改为 Okta

第 2 步:在 Okta 中更新集成

要完成迁移,您需要在 Okta 中更新集成。 

1. 在您的 Okta 管理员帐户中,导航到应用程序 > 应用程序 > 浏览应用目录,并搜索 Udemy Business

2. 添加集成并填写详细信息,包括子域受众 URI(SP 实体 ID)。 


 

3. 在预配选项卡上,单击启用 API 集成。 

4. 当系统提示您提供 API 令牌时,粘贴您之前从 Udemy Business 复制的持有者令牌。

5. 单击测试 API 凭据以测试连接。 

如果测试成功,您可以放心单击保存

测试 API 凭据

6. 在预配选项卡中,导航到设置 > 转到应用,并确保所有类型的配置均已启用:

  • 创建用户
  • 更新用户属性
  • 停用用户

注意:完成此步骤后,在此新版 Udemy Business 应用程序中进行的所有更改都将影响您在 Udemy Business 中的预配。

Provisioning to App.png

 

结果

您对新版 Udemy Business 应用程序的基本集成现已完成。 

第 3 步:管理您的旧版 Udemy Business 应用程序

创建新集成后,您必须在以下两个选项之间进行选择:

选项 1:禁用旧集成

  • 优点:将只有一个可靠来源,并且您可以确保在新集成中进行的任何更改都将保留下来。
  • 缺点:您的用户将无法在 Udemy Business 中通过 SSO 来登录。

选项 2:保留旧集成

  • 优点:使用 Udemy Business 的用户不会遇到任何停机时间。
  • 缺点:如果有人更改旧集成,这些更改将覆盖新集成。您必须谨慎管理过渡过程,并告知其他管理员不要更改旧集成中的任何用户或群组。

第 4 步:将用户导入新集成

您有两种方式将用户导入新集成:

  • 自动导入
  • 审核并自行导入

完成导入所需的时间取决于应用程序中的用户数量,可能从几秒钟到几分钟不等。 

选项 1:自动导入用户

要自动导入用户:

  1. 导航到新版 Udemy Business 应用程序的预配选项卡。
  2. 在左侧,选择转到 Okta
  3. 用户创建与匹配设置下,您将看到以下选项,用于自动导入并确认分配:
    • 在下列情况下,导入的用户与 Okta 用户完全匹配:
      • 选择电子邮件匹配
    • 允许部分匹配
      • 选择名字和姓氏部分匹配
    • 确认匹配的用户
      • 选择自动确认完全匹配
      • 选择自动确认部分匹配
    • 确认新用户下:
      • 选择自动确认新用户

用户创建与匹配

4. 单击保存

5. 在 Udemy Business 应用中,导航到导入选项卡。

6. 单击立即导入

自动导入群组

选项 2:审核并自行导入

要自行导入用户:

  1. 在 Udemy Business 应用中,导航到导入选项卡。
  2. 单击立即导入

第 5 步:将群组导入新集成

注意:您需要先将所有用户添加到新集成,然后才能开始添加群组。

要将群组导入新集成:

1. 在新版 Udemy Business 应用中,导航到推送群组选项卡。 

2. 单击刷新应用群组

3. 选择推送群组 > 按名称查找群组

将群组推送到 Udemy Business

4. 在左侧,单击按名称,然后使用关联群组选项。

关联群组

5. 单击保存保存并添加另一个,然后对其余群组重复相同过程。

相关文章

联系我们