IAM 身份中心-SCIM自动配置:注意事项

时间:2023-11-24 20:08:40

注意事项

在开始部署SCIM之前,我们建议您先查看以下有关它如何与 IAM 身份中心配合使用的重要注意事项。有关适用于您的IdP的其他配置注意事项,请参阅常用的身份提供商

  • 如果您要配置主电子邮件地址,则每个用户的此属性值必须是唯一的。在某些IdPs情况下,主电子邮件地址可能不是真实的电子邮件地址。例如,它可能是一个看起来只像电子邮件的通用主体名称(UPN)。它们IdPs可能具有包含用户真实电子邮件地址的辅助或 “其他” 电子邮件地址。您必须在IdP中配置SCIM以将非NULL的唯一电子邮件地址映射到IAM身份中心主电子邮件地址属性。而且您必须将用户的非空唯一登录标识符映射到IAM身份中心用户名属性。检查您的IdP是否有一个既是登录标识符又是用户的电子邮件名称的单一值。如果是,您可以将该IdP字段映射到IAM身份中心主电子邮件和IAM身份中心用户名。
  • 要使SCIM同步正常运行,每个用户都必须指定名字、姓氏、用户名和显示名称值。如果某个用户缺少这些值中的任何一个,则不会配置该用户。
  • 如果您需要使用第三方应用程序,则首先需要将出站SAML主题属性映射到用户名属性。如果第三方应用程序需要可路由的电子邮件地址,则必须向您的IdP提供电子邮件属性。
  • SCIM配置和更新间隔由您的身份提供商控制。只有在您的身份提供商将更改发送到IAM身份中心后,对身份提供商中的用户和群组所做的更改才会反映在IAM身份中心中。有关用户和群组更新频率的详细信息,请咨询您的身份提供商。
  • 目前,SCIM未提供多值属性(例如给定用户的多个电子邮件或电话号码)。尝试使用SCIM将多值属性同步到IAM身份中心将失败。为避免失败,请确保仅为每个属性传递一个值。如果您的用户具有多值属性,请移除或修改您的IdP的SCIM中用于连接到IAM身份中心的重复属性映射。
  • 验证您的externalId IdP上的SCIM映射对应于一个唯一的值,该值始终存在且对您的用户而言更改的可能性最小。例如,您的IdP可能会提供不受姓名和电子邮件等用户属性更改影响的保证标识符objectId或其他标识符。如果是这样,则可以将该值映射到SCIM externalId字段。这样可以确保在您需要更改用户名或电子邮件时,您的用户不会丢失他们的华为云权利、任务或权限。
  • 尚未分配到应用程序或帐号的用户无法配置到IAM身份中心。要同步用户和群组,请确保将他们分配给代表您的IdP与IAM身份中心连接的应用程序或其他设置。
support.huaweicloud.com/usermanual-identitycenter/iic_03_0023.html