تسکی تسکیـ‌.دات‌آی‌آر ورود / ثبت‌نام
راهنمای تسکیـ.دات‌آی‌آر

تأمین خودکار کاربران با SCIM

کاربران را از Okta یا Entra ID به‌صورت خودکار بسازید و غیرفعال کنید و گروه‌های هویتی را به تیم‌های تسکیـ نگاشت کنید.

تأمین خودکار با SCIM یعنی چرخه عمر حساب اعضا (ورود، جابه‌جایی و خروج) به‌جای کار دستی، از همان سامانه هویت سازمان شما مدیریت شود. وقتی فردی در Okta یا Microsoft Entra ID به گروه مربوط به تسکیـ اضافه می‌شود، حسابش به‌صورت خودکار در فضای کاری ساخته می‌شود؛ و وقتی از آن گروه یا از سازمان خارج می‌شود، دسترسی‌اش هم خودکار قطع می‌شود. این کار هم خطای انسانی را کم می‌کند و هم نگرانی حساب‌های فراموش‌شده و فعال‌مانده را از بین می‌برد.

تنظیمات SCIM در تنظیمات فضای کاری ← SCIM قرار دارد. این قابلیت بخشی از مجموعه امنیت سازمانی است و در پلن تجاری پلاس در دسترس است؛ برای مدیریت آن باید مالک فضای کاری باشید یا مجوز «مدیریت امنیت» را داشته باشید. SCIM معمولاً در کنار ورود یکپارچه (SSO) استفاده می‌شود تا هم ورود و هم مدیریت حساب‌ها از سامانه هویت انجام شود.

SCIM چه کاری انجام می‌دهد؟

  • ساخت خودکار کاربر: عضو تازه با نقش پیش‌فرضی که تعیین کرده‌اید به فضای کاری اضافه می‌شود.
  • به‌روزرسانی مشخصات: تغییر نام یا ایمیل در سامانه هویت به تسکیـ منتقل می‌شود.
  • غیرفعال‌سازی خودکار: با خروج فرد از گروه یا سازمان، عضویت او در فضای کاری غیرفعال و صندلی‌اش آزاد می‌شود.
  • نگاشت گروه‌ها به تیم‌ها: گروه‌های سامانه هویت به‌صورت تیم در تسکیـ بازتاب پیدا می‌کنند.

ساخت اتصال و دریافت توکن

برای راه‌اندازی، یک اتصال SCIM می‌سازید و آدرس پایه و توکن آن را در پیکربندی SCIM سامانه هویت خود وارد می‌کنید.

  1. به تنظیمات فضای کاری ← SCIM بروید و در فرم «اتصال جدید»، یک نام اتصال بنویسید (مثلاً Okta).
  2. نقش پیش‌فرض اعضای تازه‌وارد را انتخاب کنید (مدیر، عضو یا مهمان).
  3. مدت انقضای توکن را تعیین کنید (۳۰، ۹۰، ۱۸۰ یا ۳۶۵ روز) و در صورت تمایل یک اتصال SSO مرتبط را انتخاب کنید.
  4. روی ساخت اتصال بزنید؛ توکن تولیدشده فقط همان یک‌بار نمایش داده می‌شود، پس آن را کپی و امن نگه دارید.
  5. آدرس پایه SCIM (که در همان صفحه قابل کپی است) و توکن را در بخش پیکربندی SCIM ارائه‌دهنده هویت خود وارد کنید.

توکن فقط یک‌بار نمایش داده می‌شود: اگر آن را گم کردید، باید اتصال را لغو و یک اتصال تازه با توکن جدید بسازید. اتصال‌هایی هم که توسط SCIM مدیریت می‌شوند، اعضا و تیم‌های آن‌ها در رابط کاربری فقط‌خواندنی هستند تا با تغییر دستی ناهماهنگ نشوند.

نگاشت تیم‌ها به گروه‌ها

گروه‌هایی که از سامانه هویت ارسال می‌شوند، در تسکیـ به‌صورت تیم ساخته و نگه‌داری می‌شوند. می‌توانید برای هر تیم یک نقش متناظر تعیین کنید تا عضویت در آن گروه، نقش عضو را در فضای کاری مشخص کند. وقتی فرد عضو چند گروه باشد، بالاترین نقش اعمال می‌شود (ادمین بالاتر از عضو و عضو بالاتر از مهمان)؛ نقش مالک هرگز از این مسیر داده نمی‌شود.

غیرفعال‌سازی کاربران و آزادسازی صندلی

حذف یا غیرفعال‌سازی از طریق SCIM با احتیاط طراحی شده تا برگشت‌پذیر و محدود به همان فضای کاری باشد.

  • غیرفعال‌سازی فقط عضویت فرد در همین فضای کاری را قطع می‌کند و صندلی او را آزاد می‌کند؛ حساب کاربری سراسری او یا عضویتش در فضاهای کاری دیگر دست‌نخورده می‌ماند.
  • این کار برگشت‌پذیر است؛ اگر فرد دوباره فعال شود، عضویتش بازمی‌گردد.
  • اگر افزودن عضو تازه از ظرفیت صندلی‌های فضای کاری فراتر برود، درخواست رد می‌شود و به‌صورت خودکار هزینه‌ای به اشتراک شما اضافه نمی‌شود.

مدیریت و لغو اتصال‌ها

همه اتصال‌های ساخته‌شده در همان صفحه فهرست می‌شوند؛ برای هر اتصال وضعیت (فعال یا غیرفعال)، نقش پیش‌فرض و زمان آخرین استفاده نمایش داده می‌شود.

  • برای قطع دسترسی یک ارائه‌دهنده، اتصال مربوط را لغو کنید؛ با این کار توکن‌های آن باطل و اتصال غیرفعال می‌شود.
  • هر ارائه‌دهنده هویت را با یک اتصال جداگانه و نام مشخص تعریف کنید تا ردیابی و لغو آن ساده باشد.
  • توکن‌ها را با دوره انقضای متناسب با سیاست امنیتی سازمان بسازید و پیش از انقضا آن‌ها را تمدید/جایگزین کنید.

گام بعدی: برای کامل‌کردن تجربه ورود سازمانی، ورود یکپارچه (SSO) با SAML و OIDC را راه بیندازید. برای پیگیری اینکه چه کاربرانی چه زمانی تأمین یا غیرفعال شده‌اند هم گزارش‌های ممیزی را ببینید.

این مطلب برای شما مفید بود؟