
La activación de asignaciones de grupos basadas en un atributo de usuario es una de las mejoras recientes de las capacidades de aprovisionamiento de identidad.
¿Qué significa esto y cómo puedes aprovecharlo?
Significa que puede asignar o desasignar directamente cualquier usuario que desee (según sus valores de atributo) a cualquier grupo que exista en el sistema de destino. Tan simple que suena, tan poderoso es.
Nota: Aún es posible una funcionalidad similar con Identity Authentication versión 1. Sin embargo, no se recomienda para escenarios complejos donde los grupos de usuarios en los sistemas de destino se administran adicionalmente a través de otros procesos de administración de identidad (ya que las asignaciones realizadas por esos procesos podrían sobrescribirse) .
Supongamos que está administrando sus usuarios en SAP SuccessFactors (SFSF) y sincronizándolos con el servicio de autenticación de identidad.
Aunque hay muchos escenarios de casos de uso en los que se puede utilizar esta gestión flexible de asignaciones de grupos de usuarios, estos dos son los más comunes:
A los efectos de este escenario, le mostraremos cómo configurar la autenticación basada en riesgos en su servicio de autenticación de identidad mediante la nueva característica.
Tomemos como ejemplo el siguiente requisito: Los empleados que trabajan en la división Oficina Ejecutiva deben iniciar sesión en la aplicación SFSF con autenticación de dos factores (TFA). Todos los demás deberían poder acceder solo con nombre de usuario y contraseña. Y, por supuesto, si alguno de estos empleados «ejecutivos» pasa a otra división, este TFA ya no debería ser necesario como parte del inicio de sesión en la aplicación SFSF.
Probablemente sepa que las reglas para la autenticación basada en riesgos se pueden configurar en un grupo y no en un atributo (en nuestro caso, división = Oficina ejecutiva). Bueno, aquí es donde interviene la última mejora para ayudarte.
Lograr el escenario anterior requiere una configuración separada en tres lugares:
1. En SAP SuccessFactors, asegúrese de que todos los usuarios que trabajan en la división Oficina Ejecutiva tengan el atributo división= Oficina Ejecutiva (EXEC).
En este escenario, le daremos un ejemplo con 2 usuarios:
2. En Identity Authentication, cree un grupo y configure la regla de autenticación basada en riesgo con TFA basada en él.
En este escenario, lo llamaremos: TFA-Required. Su ID de grupo es: bf9e73e6-759e-4d93-a6d4-0e2171aad239
3. En Identity Provisioning, configure el sistema de origen de SAP SuccessFactors y el sistema de destino de Identity Authentication.
En este escenario:
NotaNota: tenga en cuenta que, actualmente, en los inquilinos del paquete, la versión 2 de SAP SFSF está preconfigurada para funcionar con la versión 1 de autenticación de identidad.
4. Abra el sistema de autenticación de identidad, seleccione el Transformaciones tabula y elige Editar.
5. Agregue el siguiente código de transformación al final de la entidad de usuario:
¿Qué nos dice esta transformación?
1er mapeo:
2do mapeo:
Nota: Puede agregar más de un ID de grupo en el elemento de matriz «constante», es decir, puede asignar y desasignar usuarios a/de varios grupos al mismo tiempo.
Nota: El ID de grupo que debe especificarse en la asignación de transformación es el ID de SCIM del recurso de grupo en la API de SCIM v2 de IAS, que también está visible en la consola de administración de SAP Cloud Identity Services en Usuarios y autorizaciones -> Grupos de Usuarios -> detalles del grupo:
6. Finalmente, ejecute un trabajo de aprovisionamiento.
2. Está asignado al grupo TFA-Requerido.
3. Intenta iniciar sesión en la aplicación SFSF con nombre de usuario y contraseña.
4. Además de la autenticación básica, se requiere autenticación de dos factores.
Una vez que escanea el código QR y proporciona el código de acceso, puede iniciar sesión en la aplicación SFSF.
2. Como era de esperar, no se le asigna el grupo TFA-Required.
3. Intenta iniciar sesión en la aplicación SAP SFSF con nombre de usuario y contraseña.
4. No está obligado a proporcionar TFA e inicia sesión correctamente.
Algunas notas importantes sobre las asignaciones grupales directas:
Para más información, ver Habilitación de la asignación de grupo.
Calle Eloy Gonzalo, 27
Madrid, Madrid.
Código Postal 28010
Paseo de la Reforma 26
Colonia Juárez, Cuauhtémoc
Ciudad de México 06600
Real Cariari
Autopista General Cañas,
San José, SJ 40104
Av. Jorge Basadre 349
San Isidro
Lima, LIM 15073