Käyttäjätilin hallinnointi

Organisaatiosi Workplace-tilejä voidaan hallinnoida joko manuaalisesti järjestelmäylläpitäjän toimesta tai automaattisesti pilvitunnistepalvelun kautta. Workplace tukee myös tilien automaattista hallinnointia Active Directoryn kautta.

Tämä artikkeli koskee vain Workplace Advancedin käyttäjiä.
Pilvipalvelun tunnistetietojen toimittajan käyttäminen on helppo tapa automatisoida tilihallinta Worplacessa. Tunnistetietojen ja käyttöoikeuksien hallinnointikumppanimme tarjoavat seuraavat edut:
  • Pidä käyttäjätiedot keskitettyinä. Yhdistä pääidentiteettisäilösi (kuten Microsoft Active Directory tai Oracle Directory Server) pilvipalveluhakemistoon, jotta voit synkronoida käyttäjätilit sovellusten välillä, Workplace mukaan lukien. Agentti tai laajennus pilvipalvelun tunnistetietojen toimittajalta synkronoi muutokset pääidentiteettisäilöstäsi pilvipalvelureplikaan.
  • Yhdistetty tietuejärjestelmä. Pidä yllä pääidentiteettisäilöäsi, kun ihmiset liittyvät organisaatioosi ja poistuvat siitä.
  • Synkronoi käyttäjätilin muutokset Workplaceen. Käyttäjätilien tietojen ja tilan muutokset synkronoidaan pilvipalvelun tunnistetietojen toimittajasi ja Workplacen välillä, mikä poistaa manuaalisen käyttäjien hallinnoinnin tarpeen, kun ihmiset liittyvät organisaatioon ja poistuvat siitä.
Aloita noudattamalla täällä kuvattuja ohjeita järjestelmäylläpitäjän oikeuksilla, jotta voit luoda mukautetun integraatiosovelluksen käyttäjätilien valmistelua varten. Nämä vaiheet antavat sinulle seuraavat arvot, jotka tarvitaan määrittämisen viimeistelemiseen:
  • Käyttötunnus: käyttötunnus, joka sallii sovelluksen hallinnoida käyttäjätilejä.
  • SCIM-URL-osoite: API-päätepiste, jota pilvipalvelusovellus käyttää käyttäjätilien hallinnointiin.
  • Yhteisötunnus: organisaatiosi tunnus, jonka avulla pilvipalvelusovellus voi tehdä eron Workplace-esiintymien välillä.
Noudata seuraavaksi pilvipalvelun tunnistetietojen toimittajasi isännöimiä ohjeita.
Muista, että Workplacen voi integroida suoraan seuraavien kumppanien kanssa:
Oliko näistä tiedoista hyötyä?
Tämä artikkeli koskee vain Workplace Essentialin ja Workplace Advancedin käyttäjiä.
AD-synkronointikomponentti edellyttää seuraavaa:
  • Vain AD-toimialueen ylläpitäjä voi asentaa ohjelmiston.
  • AD-synkronointi on suunniteltu suoritettavaksi Windows Server 2012 R2:ssa tai Windows Server 2016:ssa. Muut kokoonpanot saattavat toimia (kun käyttöjärjestelmän kieleksi on asetettu en_US), mutta Workplace ei tue niitä.
  • AD-synkronointi on suoritettava tietokoneessa, joka on liitetty samalle toimialueelle kuin AD-ohjauskone, johon Workplace-käyttäjäsi kuuluvat. Jos Workplace-käyttäjäsi kuuluvat useille AD-toimialueille, sinun on noudatettava AD-synkronoinnin asennus- ja määritysohjeita kunkin toimialueen palvelimelle.
  • Seuraavat Microsoftin komponentit vaaditaan ja asennetaan AD-synkronoinnin kanssa, jos niitä ei jo ole palvelimessa: .NET Framework 4.5.2 ja SQL Server 2014 Express LocalDB (SQL Server Expressin kevyt versio) käyttäjätietojen tallentamiseen. Kaikki kumulatiiviset päivitykset tulee asentaa.
  • Sinun on määritettävä seuraavat kullekin käyttäjäryhmälle, jonka haluat synkronoida Workplaceen Facebookista: käyttäjät sisältävän Active Directoryn juurimerkinnän DN-nimi ja joko LDAP-suodatin tai Active Directory -ryhmä, joka määrittää Workplaceen synkronoitavat käyttäjät.
  • Toimialueen ohjauskoneesi on pystyttävä tukemaan LDAPS (SSL) -yhteyksiä portin 636 välityksellä.
Oliko näistä tiedoista hyötyä?
Workplacen AD-synkronointikomponentin avulla voit synkronoida valitsemasi ryhmät ja organisaatioyksiköt Active Directorystä Workplaceen, mikä poistaa käyttäjien manuaalisen hallinnoinnin tarpeen, kun ihmiset liittyvät organisaatioosi ja poistuvat siitä. AD-synkronointi on suunniteltu toimimaan seuraavasti:
  • Se valmistelee (luo) käyttäjätilit uusina käyttäjinä, jotka liittyvät organisaatioosi.
  • Se päivittää käyttäjäprofiilin ominaisuudet ajan kuluessa niiden muuttuessa (esimerkiksi eri puhelinnumero)
  • Se poistaa käyttäjätilien valmistelun (poista ne käytöstä), kun ihmiset poistuvat organisaatiostasi tai kun heillä ei enää pidä olla käyttöoikeuksia.
AD-synkronointi suoritetaan Windows-palveluna IT-infrastruktuurissasi. Sen jälkeen, kun määrität sen tekemään AD-kyselyn sille käyttäjäjoukolle, jolle haluat antaa käyttöoikeudet Workplaceen, AD-synkronointi suoritetaan aikataulun mukaisesti kolmen tunnin välein, jotta se pystyy täsmäyttämään tilit AD:n ja Workplacen välillä.
Huomautus: Jos olet synkronoinut Active Directoryn ja Workplacen kanssa yhteistyötä tekevän pilvipalvelun tunnistetietojen toimittajan, suosittelemme, että integroit Workplacen suoraan pilvitunnistetietopalveluun.
Oliko näistä tiedoista hyötyä?
Tämä artikkeli koskee vain Workplace Essentialin ja Workplace Advancedin käyttäjiä.
AD-synkronointikomponentilla on seuraavat rajoitukset:
  • Se synkronoi ainoastaan käyttäjät Active Directory -toimialueelta, jolle palvelin kuuluu, tai toimialueelle samassa AD-toimialuepuuryhmässä, jolla on asianmukaiset luottamussuhteet muodostettuna.
  • Se on määritetty synkronoimaan käyttäjät vain seuraavan perusteella: LDAP-suodattimet (kuten tietty käyttäjäluokka tai määritearvo) tai AD-suojaus-/-jakeluryhmät.
  • Se käsittelee ainoastaan enintään 100 000 käyttäjää (suunnilleen) käyttämällä ylläpitäjätöntä SQL Server 2014 Express LocalDB:tä. Useamman käyttäjän synkronointi vaatii, että ylläpitäjä hallinnoi omaa tietokantaansa.
  • Se on testattu ainoastaan Active Directory -toimialueille ja -toimialuepuuryhmille Windows Server 2012:n toiminnallisella tasolla.
  • Se sallii ainoastaan seuraavien käyttäjäprofiilin määritteiden yhdistämissääntöjen mukauttamisen: muotoiltu nimi ja sijainti. Oletuslogiikka yhdistää kaikki muut määritteet.
  • Käyttäjiä, joilla ei ole AD-arvoa seuraavalla kolmelle pakolliselle Workplace-kentälle, ei synkronoida: sähköpostiosoite, näyttönimi ja sukunimi.
Oliko näistä tiedoista hyötyä?
Tämä artikkeli koskee vain Workplace Essentialin ja Workplace Advancedin käyttäjiä.
AD-synkronointi tekee valittujen käyttäjien profiilitietojen yksisuuntaisen eräreplikoinnin. AD-synkronointikomponentti ei kirjoita takaisin hakemistopalveluusi. Sen jälkeen, kun määrität sen tekemään AD-kyselyn sille käyttäjäjoukolle, jolle haluat antaa käyttöoikeudet Workplaceen, AD-synkronointi suoritetaan aikataulun mukaisesti kolmen tunnin välein, jotta se pystyy täsmäyttämään tilit AD:n ja Workplacen välillä.
Oliko näistä tiedoista hyötyä?