Agregar usuarios y equipos mediante SCIM con OKTA

6 minutos de lectura

Función

System for Cross-domain Identity Management (también llamado SCIM) es un protocolo para la gestión de usuarios en múltiples aplicaciones. Permite que un equipo de TI o de operaciones agregue, desactive y actualice fácilmente los datos del usuario en varias aplicaciones a la vez.

Para configurar la provisión mediante SCIM en Okta, deberás contar con la participación tanto del administrador de monday.com como del administrador de tu cuenta de Okta.

Capacidades de SCIM admitidas en monday.com

Agregar usuarios
Desactivar usuarios
Agregar equipos
Desactivar equipos
Cambiar el nombre de un equipo
Actualizar los detalles de un usuario
Asignar usuarios a equipos
Quitar usuarios de equipos
Cambiar la contraseña de un usuario

Configuración

Paso 1: Agrega monday.com a OKTA

Ve a tu página de administración de Okta y cambia a la "interfaz clásica" ("Classic UI") haciendo clic en la consola de desarrollador:

Luego haz clic en aplicaciones, haz clic en agregar aplicación y busca monday.com en la tienda de aplicaciones:

Paso 2: Haz clic en "Provisioning" (Provisión)

Ve a la página de administración de Okta y selecciona la aplicación monday.com de la lista. Luego seleccione la pestaña “Provisioning”

Luego haz clic en la pestaña de configuración "Integración" y luego en "Configure API integration" (?("Configurar integración API"):

Paso 3: Ve a la sección de administración de monday.com para obtener el token de aprovisionamiento

Para hacer esto, abre tu cuenta de monday.com y haz clic en tu foto de perfil en la esquina inferior izquierda y luego selecciona "Administración". Desde la sección de administración de tu cuenta, haz clic en "Seguridad" y en el lado izquierdo y luego en la sección SCIM.

Aquí puedes generar un token y luego copiarlo y pegarlo en Okta.

Paso 4: Habilitar aprovisionamiento

Pega el token de API en Okta y prueba las credenciales de la API:

Una vez que recibas la verificación de que las credenciales son válidas, haz clic en guardar

Paso 5: Completa tu configuración

Haz clic en la pestaña "A la aplicación" en la configuración y habilita todas las funciones que necesitarás para trabajar con monday.com.

Configurar el aprovisionamiento de usuarios

Ve a la pestaña "Assignments" ("asignaciones") debajo de la app monday.com y luego haz clic en "Assign" ("asignar") y elige asignar personas o grupos a la aplicación monday.com.

Nota: Si das de baja a un usuario de la app monday.com, el usuario existirá en monday.com como un usuario inactivo y no se contará para tu cuenta de usuarios de monday.com.

Atributos de usuario

Se admiten estos campos para mapear atributos de usuario:

Nombre (no puede contener caracteres especiales)
E-mail (debe estar en minúsculas)
userType (administrador, miembro, espectador, invitado, roles personalizados)
Título (posición del usuario presente en la sección de perfil)
Activo (ya sea que un usuario esté habilitado o deshabilitado)
Zona horaria
Configuración regional (Idioma)
Número de teléfono
Dirección

Nota: El nombre de usuario siempre debe ser la dirección de e-mail del usuario.

Establecer un atributo de tipo de usuario

Puedes aprovisionar el tipo de usuario de monday.com creando un atributo personalizado en Okta.

Los tipos de usuario opcionales son:

admin
miembro
Espectador
Invitado
o ID de rol personalizado

Para configurar el aprovisionamiento mediante SCIM para admitir funciones personalizadas como tipos de usuarios:

Configura el rol personalizado relevante en monday.com como se describe en este artículo.
Copia el ID de rol personalizado. Esto se puede hacer desde el centro de permisos de la cuenta, haciendo clic en el menú de tres puntos junto al nombre del rol y luego en "Copiar ID", como se muestra a continuación.

Group_1_-_2023-01-12T114829.796.png

Nota: Puedes leer todo sobre los tipos de usuarios de monday.com en este artículo.

Pasos:

Haz clic en la pestaña Directorio, luego selecciona Editor de perfiles
Haz clic en el botón Agregar atributo
Completa los campos y haz clic en Guardar (en la parte inferior):

Nota: El valor del nombre externo debe ser "userType" y el namespace externo es "urn:ietf:params:scim:schemas:core:2.0:User"

Configurar el aprovisionamiento de equipos

¿Qué significa enviar ("push") un grupo a monday.com? Cuando envías un grupo a monday.com, crearás un nuevo equipo en tu cuenta con todos los usuarios que están asignados a ese grupo en Okta.

Nota importante: Si asignas un grupo a la app monday.com dentro de Okta y hay un equipo de monday.com con el mismo nombre, el grupo Okta lo reemplazará.
Por razones de privacidad, recomendamos coordinar el aprovisionamiento de equipos con el administrador de monday.com, para evitar que los usuarios pierdan acceso a sus datos o que algunos usuarios obtengan acceso sin quererlo.

Antes de enviar un grupo a monday.com, primero asegúrate de asignar el grupo a la cuenta de monday.com. Es importante asignar el grupo antes de enviarlo, porque el grupo no se puede enviar a menos que todos los usuarios del grupo ya estén en la cuenta de monday.com.

Pasos:

1. Asigna el grupo a tu cuenta de monday.com

2. Haz clic en la pestaña "Push groups" ("Enviar grupos") y haz clic en el botón "Push Groups".

3. Selecciona el grupo que te gustaría enviar a monday.com y haz clic en "Guardar".

Manejo de errores

Consulta la siguiente tabla que contiene códigos de error y su posible motivo. Echa un vistazo a la tercera columna para ver sugerencias de resolución:

image 1 - 2023-08-23T151258.141.png

Preguntas frecuentes

¿Qué sucede si el administrador que configuró el token SCIM inicial ya no es administrador (su tipo de usuario cambió o su cuenta se desactivó)?

Si el administrador original que creó el token de aprovisionamiento de SCIM en tu cuenta fue desactivado o cambiado a un tipo de usuario diferente (miembro, invitado o espectador), el sistema SCIM ya no funcionará en tu cuenta. Para reactivar el SCIM, el administrador actual de la cuenta puede generar un nuevo token e ingresarlo en el proveedor de identidad.

¿Cómo puede un administrador generar un nuevo token de SCIM?
- Para generar un nuevo token de SCIM, abre la sección de administración de tu cuenta. Desde allí, haz clic en la pestaña "Seguridad", abre la sección de SCIM, haz clic en el botón "Generar" y copia el token generado.
  
  Después de ingresar este token en tu proveedor de identidad, ¡ya tienes todo listo!

¿Qué sucede si cambio mis atributos personales en mi cuenta de monday.com?

La sincronización con Okta es una sincronización unidireccional, y cualquier cambio realizado en un perfil de usuario en el perfil de monday.com o en la página de equipos se sobrescribirá la próxima vez que Okta se sincronice con tu cuenta.

¿Qué significa eso?

Para cambiar cualquier atributo del perfil de usuario, deberás actualizarlo en Okta
Para agregar usuarios a equipos o eliminar usuarios de equipos creados por Okta (consulta: enviar grupos), deberás realizar estos cambios en Okta
Si creas un equipo en monday.com que no es un grupo en Okta, no se verá afectado por los grupos en Okta.

¿Qué sucede si agrego usuarios a un equipo en mi cuenta de monday.com?

Si ese equipo es aprovisionado por Okta, estos usuarios eventualmente serán expulsados del equipo y reemplazados por usuarios aprovisionados para el grupo Okta correspondiente; de lo contrario, cuando agregues usuarios a un equipo en tu cuenta de monday.com, permanecerán en ese equipo.

Si tienes preguntas, comunícate con nuestro equipo aquí. Estamos disponibles las 24 horas, los 7 días de la semana, y será un gusto ayudarte.

Lea Serfaty - Quality check 7 de abril de 2024 14:20