Bevor Sie beginnen
Wenn Sie eine Okta-Lizenz verwenden, können Sie mit Lucca Ihre in Lucca verwalteten Benutzer:innendaten mit Ihrem Okta-Verzeichnis synchronisieren.
Im Folgenden finden Sie alle notwendigen Schritte, um den Konnektor zu parametrieren. Dieses Merkblatt ist hauptsächlich für Ihre:n Okta-Administrator:in (DSI oder IT) bestimmt.
Die kostenlose Lucca-Schnittstelle für Okta kann über das Zahnrad in Ihrer Lucca-Umgebung aufgerufen werden. Wenn Sie nicht über die entsprechenden Berechtigungen verfügen, wenden Sie sich bitte an unseren Helpdesk.
Von der Anwendung unterstützte Funktionen
- Aktualisierung der Attribute der Benutzer:innen
• Importieren der Benutzer:innen.
• Importieren der Gruppen.
Helpdesk
Als Kunde von Lucca können Sie sich bei Fragen, wenn Sie eine Fehlfunktion feststellen, einen Antrag auf Verbesserung vorbringen möchten oder Ratschläge zur Nutzung benötigen, an unseren Kundendienst wenden. Wir werden immer darauf bedacht sein, Ihnen eine sachdienliche Antwort zu geben.
Unsere Berater:innen oder Technik-Teams sind nicht befugt, auf Ihre Okta-Umgebung, deren Einstellungen und die Berechtigungen, die Sie zuvor mit Ihrem/Ihrer Okta-Administrator:in festgelegt haben, zuzugreifen.
Um Ihnen helfen zu können, teilen Sie uns bitte so genau wie möglich mit, welche Art von Problem Sie haben, einschließlich Screenshots. Wir bitten Sie außerdem, in Ihren Anträgen Ihre:n Okta-Berater:in anzugeben, um uns die Erkennung Ihres Problems zu erleichtern.
Aktivieren der Synchronisierung zwischen Lucca und Okta
Zunächst einmal: Die Berechtigung „OKTA-Synchronisierung verwalten“ (Lucca-Berechtigung) muss in der Rolle des/der Verantwortlichen für den Verbindungsaufbau aktiviert werden.
Schritt 1: Stellen Sie die Anmeldeinformationen von Lucca für Okta zusammen
Über das Zahnrad Ihrer Umgebung > Authentifizierung, SSO und API > Okta-Synchronisierung und starten Sie die Integration, indem Sie auf die gleichnamige Schaltfläche klicken.
Ein Zwischenfenster erscheint, in dem Sie aufgefordert werden, uns die E-Mail-Adresse Ihres/Ihrer technischen Administrators:in zu übermitteln. Diese Information hilft uns insbesondere dabei, bei Bedarf unsere:n Ansprechpartner:in besser zu identifizieren, oder um Ankündigungen über die Integration von Lucca nach Okta zu machen.
Nach absolvieren der ersten beiden Schritte - auf die wir im dritten Schritt zurückkommen -, können Sie die Informationen abrufen, die Sie in die Okta-Schnittstelle kopieren müssen.
Schritt 2: Aktivieren von Lucca in Okta
Gehen Sie in Ihrer Okta-Anwendung zum Menü Anwendungen und wählen Sie „App-Katalog durchsuchen“, um die Anwendung „Lucca“ auszuwählen:
Sobald Lucca ausgewählt und hinzugefügt wurde, gehen Sie zum „Tab Bereitstellung“ und dann zum Menü Integration.
Geben Sie die erforderlichen und zuvor zusammengestellten Informationen in der Lucca-Schnittstelle für Okta ein.
- Basis URL
- API-Token
- Import Groups. In diesem Feld können Sie festlegen, ob Sie Gruppen importieren möchten oder nicht, die wir auf der Lucca-Seite nach Abteilungen, rechtlichen Einheiten, Betrieben oder sogar nach dem Land des Betriebs identifizieren.
Wenn Sie diesen Schritt abgeschlossen haben, wechseln Sie zum Menü „To Okta“ und wählen Sie „Allow SCIM 2.0 Test App (Header Auth)“, um die Datenquelle zu aktivieren, die Okta verwenden wird.
Schritt 3: Parametrierung der Integration mit Okta in Lucca.
Im ersten Schritt können Sie die Eigenschaften auswählen, die Sie mit Lucca synchronisieren möchten.
Unter Eigenschaften verstehen wir die Benutzer_innendaten, die Sie in Poplee Core HR über die Personalakte verwalten.
Wenn Sie die Option in Okta aktiviert haben, legen Sie in einem zweiten Schritt die Gruppen fest, die Sie synchronisieren möchten.
Herzlichen Glückwunsch, Ihre Synchronisierung ist aktiv!
Jetzt widmet sich die Schnittstelle der Verwaltung Ihrer ursprünglichen Einstellungen und der Status Ihrer Integration wird in Echtzeit angezeigt.
optional: Schritt 4: Autorisieren Sie die Synchronisierung zukünftiger Mitarbeitender.
Defaultmäßig werden Mitarbeitende mit einem Vertragsbeginndatum in der Zukunft nicht mit Okta synchronisiert.
Um diese Synchronisierung einzurichten, müssen Sie in der Rollenverwaltung die Berechtigung „Zukünftige Angestellte anzeigen“ auf dem API-Schlüssel Okta API Integration aktivieren.
Verwalten der Synchronisierung der Lucca-Datenelemente zu Okta
[Lucca/Okta] Eigenschaften
Lucca-APIs sind API REST.
Sie ermöglichen es uns, Ihnen alle Eigenschaften anzuzeigen, die mit jedem/jeder Mitarbeitenden (User) verbunden sind, wie z. B. das Datum des Vertragsbeginns, der Betrieb, die Berufsgruppe, die Stellenbezeichnung oder auch den/die Manager:in.
Um diese in Okta zu integrieren, haben wir eine Entsprechung zwischen unseren APIs und den SCIM-APIs von Okta entwickelt. Eine Lucca-Eigenschaft wird somit zu einem Benutzer:innen-Attribut für Okta.
Anpassen der Datenelemente von Lucca, die mit Okta synchronisiert werden sollen
Von der Okta-Integrationsschnittstelle aus können Sie eine Eigenschaft von allen Datenelementen, die Sie in Ihrer Personalakte verwalten, hinzufügen oder entfernen.
4 Eigenschaften sind zwingend und unveränderbar:
Hinweis: Personalisierbare zusammengesetzte Daten sowie mehrere Vorkommen
können nicht mit Okta synchronisiert werden.
Zuordnung einer Lucca-Eigenschaft zu einem Okta-Attribut
Es gibt zwei Arten von Attributen:
1. Das in Okta vorhandene Attribut, das auf der Ebene des Benutzer:innenprofils benutzt wird. Dies ist eine Information, die von Okta in Drittsysteme gepusht wird.
2. Das von der API über die Integration ((/ lucca-okta/api/users) zurückgegebene Attribut, das Okta mitteilt, wie es den Wert der Eigenschaft auslesen soll.
Attribute werden durch die aktivierte Integration zwischen Lucca und Okta verwaltet und gelesen
Erstellen eines Okta-Attributs
Wählen Sie in Okta im linken MenüDirectory → Profile Editor und dann Profil aus.
Auf der angezeigten Seite sehen Sie dann die Okta-Attribute, die Sie für die Synchronisierung Ihrer Benutzer:innen aktiviert haben.
Dort finden Sie:
- Native Attribute: login, firstName, lastName, etc. found in the SCIM 2.0 standard. Diese Attribute können nicht bearbeitet werden.
-
Custom Attributes
Klicken Sie auf Add Attribute. Auf der nächsten Seite wird Ihnen dann angezeigt, wie Sie die Custom Attributes einstellen können, die definiert sind über:
-
einen Typ: String, Integer, Boolean, usw.
-
den angezeigten Namen des Attributs human readable name, der im Benutzer:innenprofil angezeigt wird
-
eine Variable, bei der es sich um den Code des Datenelements handelt, der insbesondere mittels der Lucca-APIs abgebildet werden soll.
Erstellen der Integration mit dem Attribut
Wählen Sie im Menü Directory → Profile Editor und dann Apps und Profil für Lucca aus.
Auf dieser Seite werden alle synchronisierten und aktiven, Native und Custom Attribute angezeigt.
Klicken Sie auf Add Attribute. Auf der daraufhin angezeigten Seite können Sie die Aktivierung der Synchronisierung für das zuvor erstellte Attribut einstellen.
Mit dem Feld External namespace field können Sie Ihr Attribut (für JSON) dem Okta-Schema hinzufügen. Sie finden es jedes Mal im Okta-Framework 2 Standards wieder:
-
urn:ietf:params:scim:schemas:core:2.0:User : associated schema for the attributes of the standard (firstName, lastName, etc.)
-
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User : recommended schema by the SCIM standard for custom attributes (dtContractStart, dtContractEnd, etc.)
Hier ist ein json-Beispiel, das von der Anwendung Lucca.Okta zurückgegeben wird:
Nachdem Sie die Schemata validiert haben, geben Sie im Feld external namespace den Wert: "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User" ein
Das war’s.
Parametrieren des Mapping in Okta
Letzter Schritt: Verwalten des Mappings zwischen den Attributen der Lucca- und Okta-Profile.
Wählen Sie Directory → Profile Editor. dann Apps und klicken Sie auf Mappings der Lucca Integration.
Sie können die Zuordnung Lucca to Okta und Okta to Lucca parametrieren.
Anmerkungen zur Synchronisierung von Okta nach Lucca
Rollen und Berechtigungen
Defaultmäßig und aus Sicherheitsgründen erlaubt es der Okta-Konnektor für die Lucca-Instanz Okta nicht, die Benutzer:innendaten zu bearbeiten.
Wenn Sie Okta mit Lucca synchronisieren möchten, müssen Sie die Berechtigung für den Okta-Api-Schlüssel bearbeiten.
In der Rollenverwaltung müssen Sie dem API-Schlüssel der Oka-API-Integration die erforderlichen Berechtigungen zum Ändern der Benutzer:innendatei hinzufügen.
Die folgenden Berechtigungen sind außerdem für die Okta-Synchronisierung erforderlich -> Lucca:
- „Lucca“-App -> „Verwaltung der Abteilungen“
- „Lucca“-App -> „Betriebe und rechtliche Einheiten ändern“
Einschränkungen
Attribut displayName
- In der Lucca-Umgebung gibt es kein HR-Datenelement displayName, das mit Mitarbeitenden verknüpft ist.
– Defaultmäßig erwartet Okta ein Attribut displayName unter dem Attribut urn:ietf:params:scim:schemas:core:2.0:User.displayName.
Um Ihnen die Konfiguration zu erleichtern, wird das Attribut displayname daher durch die Vervollständigung des Familiennamens (familyName) durch den Vornamen (givenName) bewertet.
Wenn Sie jedoch die Okta-Synchronisierung konfiguriert haben -> Lucca auf dem Feld displayname, hat die Synchronisierung dieses Felds keine Auswirkung. Um den Nachnamen oder Vornamen zu ändern, müssen Sie den familyName et givenName synchronisieren.
Nicht personalisierbare zusammengesetzte Datenelemente
Daten vom Typ „Nicht personalisierbare zusammengesetzte Daten“ (CSP, Kalender, Betriebe, Abteilungen, Rollen usw.) können nach Okta, aber nicht in die Richtung Okta nach Lucca synchronisiert werden.
Ebenso können Datenelemente, die in der Personalakte nicht bearbeitbar sind (z. B. die theoretische Vergütung), von Okta nicht bearbeitet werden.
Typ der umgebungsspezifischen Datenelemente. (Extended Data)
Einfache oder zusammengesetzte Daten, die für die Umgebung erstellt wurden, können derzeit nicht in Richtung Okta -> Lucca synchronisiert werden.
Verwalten der Groups
In Lucca stehen vier Groups zur Verfügung.
- Die Abteilungen
- Die Betriebe
- Das Land
- Die rechtlichen Einheiten
Jede Group (/api/groups) ermöglicht es, alle Benutzer:innen zu erhalten, die einer Gruppe zugeordnet sind.
Lucca-Werte. Okta APIs sind wie folgt erhältlich:
- „LUCCA_LU“ für rechtliche Einheiten
- „LUCCA_ETS“ für Betriebe
- „LUCCA_DEPT“ für Abteilungen
- „LUCCA_COUNTRY“ für Länder
Defaultmäßig sind keine Groups aktiv. Die Synchronisierung dieses Datenelements ist nicht zwingend.
Importieren der Benutzer:innen in Okta
Klicken Sie auf Import und dann auf Import Now.
Wenn der Import abgeschlossen ist, kann je nach Ihrer Parametrierung eine Validierung einiger Datenelemente erforderlich sein.
So erhalten Sie einen Importbericht: Directory / People
Wenn Sie auf eine:n Benutzer:in klicken, werden die Details der synchronisierten Daten angezeigt
Unter Directory/Groups können Sie auch den Gruppenimportbericht einsehen, falls Sie diesen generiert haben.
Die Gruppen sind nicht in der Richtung Okta nach Lucca synchronisierbar.