Asignaciones de grupos basadas en atributos de usuario: una solución flexible para administrar la autenticación condicional y basada en riesgos y mucho más

La activación de asignaciones de grupos basadas en un atributo de usuario es una de las mejoras recientes de las capacidades de aprovisionamiento de identidad.

¿Qué significa esto y cómo puedes aprovecharlo?

Significa que puede asignar o desasignar directamente cualquier usuario que desee (según sus valores de atributo) a cualquier grupo que exista en el sistema de destino. Tan simple que suena, tan poderoso es.

Antes de que empieces

• Esta función es compatible con sistemas de destino basados ​​en SCIM que admiten operaciones PATCH, como Identity Authentication versión 2.

Nota: Aún es posible una funcionalidad similar con Identity Authentication versión 1. Sin embargo, no se recomienda para escenarios complejos donde los grupos de usuarios en los sistemas de destino se administran adicionalmente a través de otros procesos de administración de identidad (ya que las asignaciones realizadas por esos procesos podrían sobrescribirse) .

• El grupo de usuarios que desea asignar debe existir en el sistema de destino.

Escenario de caso de uso

Supongamos que está administrando sus usuarios en SAP SuccessFactors (SFSF) y sincronizándolos con el servicio de autenticación de identidad.

Aunque hay muchos escenarios de casos de uso en los que se puede utilizar esta gestión flexible de asignaciones de grupos de usuarios, estos dos son los más comunes:

• Configuración de la autenticación condicional basada en el valor de la método de inicio de sesión atributo en SFSF que diferencia a los usuarios autenticados por Identity Authentication de aquellos autenticados por el proveedor de identidad corporativa.
• Hacer cumplir la autenticación de dos factores mediante el servicio de autenticación de identidad en función de los atributos de usuario que provienen del sistema de origen del usuario (a través de asignaciones de grupo).

A los efectos de este escenario, le mostraremos cómo configurar la autenticación basada en riesgos en su servicio de autenticación de identidad mediante la nueva característica.

Tomemos como ejemplo el siguiente requisito: Los empleados que trabajan en la división Oficina Ejecutiva deben iniciar sesión en la aplicación SFSF con autenticación de dos factores (TFA). Todos los demás deberían poder acceder solo con nombre de usuario y contraseña. Y, por supuesto, si alguno de estos empleados «ejecutivos» pasa a otra división, este TFA ya no debería ser necesario como parte del inicio de sesión en la aplicación SFSF.

Probablemente sepa que las reglas para la autenticación basada en riesgos se pueden configurar en un grupo y no en un atributo (en nuestro caso, división = Oficina ejecutiva). Bueno, aquí es donde interviene la última mejora para ayudarte.

Lograr el escenario anterior requiere una configuración separada en tres lugares:

1. En SAP SuccessFactors, asegúrese de que todos los usuarios que trabajan en la división Oficina Ejecutiva tengan el atributo división= Oficina Ejecutiva (EXEC).

En este escenario, le daremos un ejemplo con 2 usuarios:

• Martin Snow: trabaja en la división de la Oficina Ejecutiva
• John Parker – trabaja en la división de Servicios Corporativos

2. En Identity Authentication, cree un grupo y configure la regla de autenticación basada en riesgo con TFA basada en él.

En este escenario, lo llamaremos: TFA-Required. Su ID de grupo es: bf9e73e6-759e-4d93-a6d4-0e2171aad239

3. En Identity Provisioning, configure el sistema de origen de SAP SuccessFactors y el sistema de destino de Identity Authentication.

En este escenario:

• SAP SFSF usa SCIM API versión 2 y está configurado con autenticación basada en certificados
• La autenticación de identidad utiliza la versión 2 de la API de SCIM y está configurada con autenticación basada en certificados

NotaNota: tenga en cuenta que, actualmente, en los inquilinos del paquete, la versión 2 de SAP SFSF está preconfigurada para funcionar con la versión 1 de autenticación de identidad.

4. Abra el sistema de autenticación de identidad, seleccione el Transformaciones tabula y elige Editar.

5. Agregue el siguiente código de transformación al final de la entidad de usuario:

¿Qué nos dice esta transformación?

1er mapeo:

• “condición”: aplique esta asignación a todos los usuarios con el atributo de división establecido en Oficina ejecutiva (EXEC).
• «constante»: asigne todos los usuarios que cumplan la condición al grupo dado «TFA-Required» especificando su ID de grupo.
• “targetVariable”: ejecuta la operación de asignación.

2do mapeo:

• “condición”: aplique esta asignación a todos los usuarios sin atributo de división establecido en Oficina ejecutiva (EXEC).
• «constante»: anule la asignación de todos los usuarios que coincidan con la condición del grupo especificado «TFA-Required» especificando su ID de grupo.
• “targetVariable”: ejecuta la operación de desasignación.

Nota: Puede agregar más de un ID de grupo en el elemento de matriz «constante», es decir, puede asignar y desasignar usuarios a/de varios grupos al mismo tiempo.

Nota: El ID de grupo que debe especificarse en la asignación de transformación es el ID de SCIM del recurso de grupo en la API de SCIM v2 de IAS, que también está visible en la consola de administración de SAP Cloud Identity Services en Usuarios y autorizaciones -> Grupos de Usuarios -> detalles del grupo:

6. Finalmente, ejecute un trabajo de aprovisionamiento.

Iniciar sesión con TFA

1. El usuario Martin Snow está aprovisionado para la autenticación de identidad con la división de atributos establecida en Executive Office (EXEC).

2. Está asignado al grupo TFA-Requerido.

3. Intenta iniciar sesión en la aplicación SFSF con nombre de usuario y contraseña.

4. Además de la autenticación básica, se requiere autenticación de dos factores.

Una vez que escanea el código QR y proporciona el código de acceso, puede iniciar sesión en la aplicación SFSF.

Iniciar sesión sin TFA

1. El usuario John Parker está aprovisionado para la autenticación de identidad con la división de atributos establecida en Servicios corporativos (CORP_SVCS).

2. Como era de esperar, no se le asigna el grupo TFA-Required.

3. Intenta iniciar sesión en la aplicación SAP SFSF con nombre de usuario y contraseña.

4. No está obligado a proporcionar TFA e inicia sesión correctamente.

Algunas notas importantes sobre las asignaciones grupales directas:

• Funciona para aprovisionamiento estándar y aprovisionamiento en tiempo real.
• Funciona para sistemas de destino con o sin operaciones masivas habilitadas.
• Si el grupo que desea asignar a un usuario no existe en el destino durante la creación del usuario, el aprovisionamiento de usuarios falla.

Para más información, ver Habilitación de la asignación de grupo.