Approvisionnement local
Comme pour l'approvisionnement cloud, l'approvisionnement local utilise le protocole SCIM pour synchroniser les informations du compte utilisateur de votre magasin d'utilisateurs avec les applications dont se servent vos utilisateurs au quotidien.
Architecture
L'architecture de l'approvisionnement local se compose d'Okta, de Okta Provisioning Agent, d'un serveur SCIM, ou de connecteurs personnalisés, et de vos applications locales. Dans cette illustration, tous les composants, sauf Okta, se trouvent à l'intérieur de votre pare-feu :
Conditions préalables
Okta prend uniquement en charge l'approvisionnement local lorsque les services professionnels d'Okta ou un partenaire certifié ont effectué l'implémentation, ou lorsque le connecteur local Okta est utilisé.
Pour implémenter l'approvisionnement local Okta, vous aurez besoin des éléments suivants :
- Okta Provisioning Agent installé sur un serveur Windows ou Linux.
- Un serveur SCIM pour traiter les demandes d'approvisionnement envoyées par Okta Provisioning Agent. Ce serveur SCIM peut être le connecteur que vous avez créé à l'aide du SDK Okta Provisioning Connector ou votre propre programme capable de traiter les appels REST basés sur le SCIM.
- Le package SDK Okta Provisioning Connector contient un connecteur exemple que vous pouvez utiliser pour tester l'approvisionnement local et pour vous aider à créer vos propres connecteurs. N'essayez pas d'utiliser le connecteur exemple sans l'avoir modifié pour votre déploiement.
- Le protocole Transport Layer Security (TLS) 1.2 pour Linux et Windows.
- Pour l'approvisionnement local en mode haute disponibilité, vous devez installer un Okta Provisioning Agent supplémentaire ainsi que le connecteur SCIM sur un autre serveur. Lancez Okta Provisioning Agent, configurez votre connecteur SCIM et activez l'approvisionnement sur votre serveur de sauvegarde. Si votre serveur principal est indisponible, Okta Provisioning Agent et les processus exécutés par votre connecteur SCIM resteront opérationnels.
Workflow de l'utilisateur
Lorsqu'un nouvel utilisateur est approvisionné depuis Okta vers une application locale (par exemple, une base de données MySQL) à l'aide d'un serveur SCIM, il suit le workflow classique suivant :
- Un administrateur Okta crée une instance dans Okta pour l'intégration d'application qui représente votre application MySQL locale.
- L'administrateur approvisionne un nouvel utilisateur en affectant un utilisateur Okta à l'intégration d'applications MySQL dans Okta. Okta crée un événement d'approvisionnement [create new user (Créer un nouvel utilisateur)] L'approvisionnement Okta échoue lorsque le schéma personnalisé d'un utilisateur de l'application ne contient que des attributs de type tableau.
- Okta Provisioning Agent interroge Okta et trouve l'événement d'approvisionnement. Okta Provisioning Agent convertit l'événement d'approvisionnement en une requête SCIM, en envoyant une requête HTTP POST au point de terminaison /Users de votre serveur SCIM.
- Le serveur SCIM reçoit la requête POST envoyée à /Users accompagnée d'une représentation SCIM au format JSON de l'utilisateur. Le serveur tente de créer cet utilisateur dans l'application locale.
- Le serveur SCIM répond à Okta Provisioning Agent à l'aide du message de réponse SCIM, conformément au protocole SCIM.
Pour les entreprises qui intègrent des utilisateurs à l'aide d'un système de gestion des ressources humaines (SGRH) comme Workday, Okta permet et annule l'approvisionnement des utilisateurs dans les applications locales en utilisant Active Directory (AD) comme point de rencontre. Vous pouvez configurer Okta pour gérer les comptes dans votre instance AD. Ainsi, Okta crée et met à jour les utilisateurs dans AD sur la base des comptes utilisateur de Workday. Toutes les applications locales qui utilisent AD comme magasin d'utilisateurs peuvent alors utiliser ces informations.
Rubriques liées
Workflow classique pour le déploiement de l'approvisionnement local
Approvisionner les applications locales