Splashtop 支持通过 SCIM 从身份鉴别服务器预置用户或群组,请按照以下步骤完成设置。
步骤 1:配置预置过程 - 启用预置过程
1. 在创建的应用程序上,打开常规选项卡,单击编辑,选中 SCIM,然后单击保存。
2. 完成步骤 1 之后,会看到预置选项卡,打开该选项卡,然后单击编辑。插入以下信息:
- SCIM 连接器基本 URL:从 Gateway 复制 SCIM 配置中的 Base URL。
- 用户的唯一标识符字段:用户名
- 支持的预置操作:选中选项1到5。
- 身份验证模式:选择 HTTP 标头。
页面如下所示:
3. 完成步骤 2 之后,在同一个预置选项卡上,转到“HTTP 标头 / 身份验证”,然后插入令牌。参阅此文以获取令牌:如何生成 SCIM 预置令牌。
插入令牌后,单击测试连接器配置,将出现一个弹出窗口,显示支持的操作,包括用户导入、导入配置文件更新、创建用户、更新用户属性、推送组和导入组。
关闭弹出窗口,然后单击保存。
4. 完成步骤 3 之后,单击编辑,启用创建用户、更新用户属性和停用用户。保持同步密码处于禁用状态。然后点击保存。
步骤 2:配置预置过程 - 创建映射
1. 同样在预置选项卡中,单击打开配置文件编辑器。
2. 单击添加属性。
然后在下面插入信息。
- 数据类型:选择字符串
- 显示名称:ssoName
- 变量名称:ssoName
- 外部名称:ssoName
- 外部命名空间:urn:ietf:params:scim:schemas:extension:Splashtop:2.0:User
- 必填属性:是
- 用户权限:读写
然后单击保存。
3. 返回配置文件编辑器,然后单击映射。
4. 选择“创建的应用名称”到 Okta 用户。
5. 向下滚动到底部,找到刚刚创建的 ssoName 属性,然后插入在 Gateway 创建的 SSO 方法名称。请使用“sso 方法名称”格式插入。然后单击保存映射。
6. 单击立即应用更新。
步骤 3:开始预置 - 分配用户或组到应用程序并推送组
1. 预置用户:打开分配选项卡,单击分配以分配给人员或分配给组。
这将预置用户以及组中的用户。
2. 预置组:
- 打开分配选项卡,单击分配以分配给组,然后分配要预置的组。
- 打开推送组选项卡,单击“+推送组”按钮,以添加要预置的组。
分配和推送组配置完成后,将进行预置。
注意事项
- 所有完成预置的用户都将被分配成员角色。
- 支持通过 SCIM 配置更新用户名,请到 Okta 管理员控制台打开目录 / 人员 / 配置文件,以更改用户名。
- 只有在已配置的组中有用户时,才会在 Gateway 中创建已配置的组。
- 出于安全考虑,SCIM 配置 API 的上限为每分钟1000次调用。
-
由于 Okta 的限制(Okta 官方发布的有关该限制的帖子:链接),目前不支持将用户添加到预置组(归在“推送组”下),也就是说目前只支持将用户预置到默认组,而不是预置组。
解决方法:确保将该组在添加到推送组之前已将用户添加到该组。
对于推送组中现有的组,可以从 Okta 上的 Splashtop 应用中删除该组,添加所有要分配的用户到该组户,然后再次将该组添加到推送组,即可解决 Okta 的限制问题。