יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הקצאת הרשאות SCIM לאיחוד שירותי אימות הזהות של כוח העבודה

אם ספק הזהויות (IdP) שלכם תומך במערכת לניהול זהויות בכמה דומיינים (SCIM), אתם יכולים להגדיר את ספק הזהויות כך שיקצה וינהל קבוצות ב- Cloud de Confiance.

יכולות

התמיכה ב-SCIM באיחוד שירותי אימות הזהות של כוח העבודה מספקת את היכולות הבאות:

סנכרון זהויות: סנכרון של עותקים לקריאה בלבד של נתוני משתמשים מספק הזהויות כדי לקבל תמונה כוללת של מאפייני המשתמשים והחברות שלהם ב- Cloud de Confiance.
השטחת קבוצות: פרוטוקול SCIM מעבד קבוצות מספק הזהויות (IdP) כך שכל החברויות הישירות והעקיפות (מקוננות) של משתמש מושטחות ומסונכרנות עםCloud de Confiance שירות החברות בקבוצות (GMS). לאחר מכן, מערכת IAM משתמשת בקבוצות האלה שפושטו כדי לבדוק את המדיניות, וכך מתגברת על מגבלות הגודל שנפוצות בדרך כלל באסימוני IdP.
שילוב של Gemini Enterprise: דיירים ב-SCIM תומכים בשיתוף ב-Gemini Enterprise. משתמשים יכולים לשתף מחברות NotebookLM עם קבוצה באמצעות השם של הקבוצה במקום מזהה האובייקט שלה (UUID). מידע נוסף זמין במאמר שיתוף מחברת עם קבוצה.

לתשומת ליבכם

כשמשתמשים בתמיכה של SCIM באיחוד שירותי אימות הזהות של כוח העבודה, צריך לקחת בחשבון את הנקודות הבאות:

צריך להגדיר מאגר זהויות של כוח עבודה וספק לפני שמגדירים דייר SCIM.
כל מאגר זהויות של כוח עבודה תומך רק בדייר SCIM אחד. כדי להגדיר דייר SCIM חדש באותו מאגר זהויות של כוח עבודה, צריך קודם למחוק את הדייר הקיים. כשמוחקים דייר SCIM, יש שתי אפשרויות:
- מחיקה עם אפשרות שחזור (ברירת מחדל): מחיקה של דייר SCIM מתחילה תקופה של 30 יום שבה אפשר לשחזר את הדייר. במהלך התקופה הזו, הדייר מוסתר ואי אפשר להשתמש בו, ואי אפשר ליצור דייר SCIM חדש באותו מאגר זהויות של כוח העבודה.
- מחיקה בלי יכולת שחזור: כדי למחוק דייר SCIM באופן מיידי ולתמיד, משתמשים בדגל --hard-delete עם פקודת המחיקה. הפעולה הזו היא בלתי הפיכה, והיא מאפשרת ליצור דייר SCIM חדש באותו מאגר זהויות של כוח העבודה מיד אחרי שהמחיקה מסתיימת. לחלופין, אפשר ליצור מאגר חדש של זהויות כוח עבודה ודייר SCIM חדש, או להשתמש במאגר זהויות של כוח עבודה שלא הוגדר בעבר עם דייר SCIM.
כשמשתמשים ב-SCIM, ממפים מאפיינים גם בספק הזהויות של כוח העבודה וגם בדייר SCIM. המאפיין google.subject חייב להתייחס לאותם מזהים באופן ייחודי. מציינים את google.subject בספק של מאגר הזהויות של כוח העבודה באמצעות הדגל --attribute-mapping, ובדייר SCIM באמצעות הדגל --claim-mapping. מיפוי של ערכי זהות לא ייחודיים עלול לגרום ל- Cloud de Confiance להתייחס לזהויות שונות ב-IdP כאילו הן אותה זהות. כתוצאה מכך, גישה שניתנת למשתמש אחד או לקבוצה אחת יכולה להתרחב למשתמשים או לקבוצות אחרים, אבל ביטול הגישה של משתמש אחד לא בהכרח יסיר את הגישה מכולם.
כדי להשתמש ב-SCIM למיפוי קבוצות, צריך להגדיר את --scim-usage=enabled-for-groups. כשממפים קבוצות באמצעות SCIM, המערכת מתעלמת מכל מיפוי קבוצות שמוגדר בספק של מאגר הזהויות של כוח העבודה. כשמתייחסים לקבוצות שמנוהלות על ידי SCIM, המאפיין הממופה הוא google.group ולא google.groups. google.groups מתייחס רק לקבוצות שממופות לטוקנים.
כשמשתמשים ב-SCIM, עדיין אפשר להשתמש במאפיינים מבוססי-אסימון שממופים באמצעות --attribute-mapping לאימות ולמזהי ישויות.
אם אתם מתכננים להשתמש ב-SCIM, אל תשתמשו בדגלים --extended-attributes כשאתם יוצרים את ספק הזהויות של כוח העבודה להגדרת Microsoft Entra ID. ‫SCIM ומאפיינים מורחבים הם שיטות חלופיות לאחזור קבוצות. שימוש בשתי השיטות עלול לגרום להתנגשויות בהגדרות. כדי להפעיל שמות קבוצות שקלים לקריאה ב-Gemini Enterprise, צריך להשתמש ב-SCIM ולא להגדיר מאפיינים מורחבים.

מיפוי ספקי OIDC ו-SAML להגדרת SCIM

צריכה להיות עקביות בין מיפוי המאפיינים בהגדרות של ספק הזהויות של כוח העבודה (--attribute-mapping) לבין מיפויי ההצהרות בדייר SCIM (--claim-mapping). מאפיין IdP הבסיסי שמשמש לאכלוס google.subject (למשתמשים) צריך להיות זהה, בין אם הוא נקרא מהצהרה של אסימון או ממאפיין SCIM.

אם המיפויים האלה לא עקביים, יכול להיות שהמשתמשים יוכלו להיכנס לחשבון אבל לא יזוהו כחברים בקבוצות שהוקצו להם באמצעות SCIM. לדוגמה, אם הספק משתמש ב-assertion.email בשביל google.subject, גם דייר SCIM צריך להשתמש במאפיין SCIM המקביל (לדוגמה, user.emails[0].value) בשביל google.subject.

בטבלה הבאה מופיעות דוגמאות למיפוי של טענות נפוצות של טוקנים של ספקי IdP למאפייני SCIM:

מאפיין של Google	מיפוי של ספק מאגר זהויות של כוח עבודה (טוקן)	מיפוי דיירים ב-SCIM
`google.subject`	`assertion.oid`	`user.externalId`
`google.subject`	`assertion.email`	`user.emails[0].value`
`google.subject`	`assertion.email.lowerAscii()`	`user.emails[0].value.lowerAscii()`
`google.subject`	`assertion.preferred_username`	`user.userName`
`google.subject`	`assertion.sub`	לא תואם
`google.group`	לא רלוונטי (מופה באמצעות SCIM)	`group.externalId`

נקודות קצה נתמכות ולא נתמכות

יש תמיכה בנקודות הקצה הבאות של פרוטוקול SCIM:

‫/Users: ניהול משאבי משתמשים. פעולות נתמכות: Create,‏ Get,‏ Update,‏ Delete,‏ Patch ו-Put.
‫/Groups: ניהול משאבי הקבוצה. פעולות נתמכות: Create,‏ Get,‏ Update,‏ Delete ו-Patch. אין תמיכה בשיטה PUT לקבוצות.
‫/Schemas: אחזור פרטי הסכימה.
‫/ServiceProviderConfig: אחזור ההגדרות של ספק השירות.

אין תמיכה בנקודות הקצה הבאות של פרוטוקול SCIM:

/Me
/Bulk
/Search
/ResourceTypes

מגבלות

בקטעים הבאים מתוארות המגבלות והסטיות של הטמעת SCIM באיחוד שירותי אימות הזהויות של כוח העבודה ממפרטי SCIM‏ (RFC 7643 ו-7644).

מגבלות על תכונות של פרוטוקולים

תמיכה במסננים: כשמציגים רשימה של משתמשים או קבוצות באמצעות נקודות הקצה /Users או /Groups, ביטויי המסננים תומכים רק באופרטור eq (שווה). אפשר לשלב כמה מסנני eq עם and. אין תמיכה באופרטורים אחרים של מסנני SCIM, כמו co (מכיל) או sw (מתחיל ב).
חלוקה לדפים: ה-IAM SCIM API לא תומך בחלוקה רגילה לדפים כשמציגים רשימה של משתמשים או קבוצות.
- ‫startIndex: הפרמטר הזה תמיד 1. ה-API מחזיר עד 100 תוצאות, ללא קשר לערך שמזינים בפרמטר startIndex.
- ‫itemsPerPage: המספר המקסימלי של משאבים שמוחזרים בתגובה אחת הוא 100.
- ‫totalResults: ה-API לא מחזיר את המספר הכולל בפועל של משאבים תואמים. הערך בשדה totalResults בתשובה תמיד שווה למספר הפריטים שמוחזרים בתשובה הזו, עד 100 פריטים.
קבלת קבוצה ורשימת קבוצות ללא סינון: ממשקי ה-API‏ GetGroup ו-ListGroups מחזירים רשימת חברים ריקה. כדי לאחזר את חברי הקבוצה הספציפית, משתמשים ב-ListGroups API עם מסנן חברים.
תגובת JSON לא תואמת עם אסימונים לא תקינים: ממשקי API שמכילים אסימון API לא תקין יחזירו 401 HTTP error מ- Cloud de Confiance. התגובה היא לא מבנה JSON כנדרש במפרט.

מגבלות על התנהגות SCIM

מזהים שלא ניתן לשנות: המערכת מתייחסת לערכים של מאפייני SCIM שממופים ל-google.subject או ל-google.group כמזהים שלא ניתן לשנות בתוך Cloud de Confiance. כדי לשנות את הערכים האלה, צריך למחוק את המשתמש או הקבוצה מ-IdP באופן סופי ואז ליצור אותם מחדש עם הערך החדש.
דרישה לכתובת אימייל אחת: כדי שהסנכרון של SCIM יצליח, לכל משתמש צריכה להיות בדיוק כתובת אימייל אחת מהסוג work. הקצאת הרשאות או עדכונים ייכשלו אם ספק הזהויות ישלח כמה אימיילים או אם האימייל היחיד שסופק לא יוקלד כ-work.
טרנספורמציות לא תלויות-רישיות: יש תמיכה בטרנספורמציות מוגבלות של Common Expression Language ‏(CEL) למיפוי טענות SCIM. רק הערך .lowerAscii() נתמך בהשוואות לא תלויות-רישיות של user.userName ו-user.emails[0].value.

מגבלות על מאפיינים

בקטעים הבאים מתואר תמיכת המאפיינים למשתמשים, לקבוצות ולהרחבת סכימת המשתמשים הארגונית.

מאפייני המשתמשים

בטבלה הבאה מפורטות אפשרויות התמיכה במאפייני משתמשים:

מאפיין	מאפייני משנה	נתמך	מגבלות
`userName`	לא רלוונטי	כן	לא רלוונטי
`name`	`formatted`, `familyName`, `givenName`, `middleName`, `honorificPrefix`, `honorificSuffix`	כן	לא רלוונטי
`displayName`	לא רלוונטי	כן	לא רלוונטי
`nickName`	לא רלוונטי	כן	לא רלוונטי
`profileUrl`	לא רלוונטי	כן	לא רלוונטי
`title`	לא רלוונטי	כן	לא רלוונטי
`userType`	לא רלוונטי	כן	לא רלוונטי
`preferredLanguage`	לא רלוונטי	כן	לא רלוונטי
`locale`	לא רלוונטי	כן	לא רלוונטי
`timezone`	לא רלוונטי	כן	לא רלוונטי
`active`	לא רלוונטי	כן	לא רלוונטי
`password`	לא רלוונטי	לא	לא רלוונטי
`emails`	`display`,‏ `type`,‏ `value`,‏ `primary`	כן	יש תמיכה רק בסוג האימייל `work`.
`phoneNumbers`	`display`,‏ `type`,‏ `value`,‏ `primary`	כן	לא רלוונטי
`ims`	`display`, `type`, `value`	כן	לא רלוונטי
`photos`	`display`, `type`, `value`	כן	לא רלוונטי
`addresses`	`formatted`, `streetAddress`, `locality`, `region`, `postalCode`, `country`	כן	לא רלוונטי
`groups`	לא רלוונטי	לא	לא רלוונטי
`entitlements`	`display`, `type`, `value`	כן	לא רלוונטי
`roles`	`type`, `value`	כן	אין תמיכה ב-`display`.
`x509Certificates`	`type`, `value`	כן	אין תמיכה ב-`display`.

מאפייני הקבוצות

בטבלה הבאה מפורטת התמיכה במאפיינים קבוצתיים:

מאפיין	מאפייני משנה נתמכים
`displayName`	לא רלוונטי
`externalId`	לא רלוונטי
`members`	`value`,‏ `type`,‏ `$ref`,‏ `display`

מאפייני הרחבה של סכימת משתמשים בארגון

בטבלה הבאה מפורטות ההרחבות של סכימת המשתמשים בארגון שנתמכות:

מאפיין	מאפייני משנה נתמכים
`employeeNumber`	לא רלוונטי
`costCenter`	לא רלוונטי
`organization`	לא רלוונטי
`division`	לא רלוונטי
`department`	לא רלוונטי
`manager`	`value`, `$ref`, `displayName`