Lucca <> Okta: Wie synchronisiere ich meine Benutzer:innendaten?

Bevor Sie beginnen

Wenn Sie eine Okta-Lizenz verwenden, können Sie mit Lucca Ihre in Lucca verwalteten Benutzer:innendaten mit Ihrem Okta-Verzeichnis synchronisieren.

Im Folgenden finden Sie alle notwendigen Schritte, um den Konnektor zu parametrieren. Dieses Merkblatt ist hauptsächlich für Ihre:n Okta-Administrator:in (DSI oder IT) bestimmt.

Die kostenlose Lucca-Schnittstelle für Okta kann über das Zahnrad in Ihrer Lucca-Umgebung aufgerufen werden. Wenn Sie nicht über die entsprechenden Berechtigungen verfügen, wenden Sie sich bitte an unseren Helpdesk.

 

Von der Anwendung unterstützte Funktionen 

- Aktualisierung der Attribute der Benutzer:innen

• Importieren der Benutzer:innen.

• Importieren der Gruppen.

Profile-Sourcing

 

 

Helpdesk

Als Kunde von Lucca können Sie sich bei Fragen, wenn Sie eine Fehlfunktion feststellen, einen Antrag auf Verbesserung vorbringen möchten oder Ratschläge zur Nutzung benötigen, an unseren Kundendienst wenden. Wir werden immer darauf bedacht sein, Ihnen eine sachdienliche Antwort zu geben.

Unsere Berater:innen oder Technik-Teams sind nicht befugt, auf Ihre Okta-Umgebung, deren Einstellungen und die Berechtigungen, die Sie zuvor mit Ihrem/Ihrer Okta-Administrator:in festgelegt haben, zuzugreifen.

Um Ihnen helfen zu können, teilen Sie uns bitte so genau wie möglich mit, welche Art von Problem Sie haben, einschließlich Screenshots. Wir bitten Sie außerdem, in Ihren Anträgen Ihre:n Okta-Berater:in anzugeben, um uns die Erkennung Ihres Problems zu erleichtern. 

Aktivieren der Synchronisierung zwischen Lucca und Okta

Zunächst einmal: Die Berechtigung „OKTA-Synchronisierung verwalten“ (Lucca-Berechtigung) muss in der Rolle des/der Verantwortlichen für den Verbindungsaufbau aktiviert werden.

Schritt 1: Stellen Sie die Anmeldeinformationen von Lucca für Okta zusammen

Über das Zahnrad Ihrer Umgebung > Authentifizierung, SSO und API > Okta-Synchronisierung und starten Sie die Integration, indem Sie auf die gleichnamige Schaltfläche klicken.

mceclip0.png

mceclip1.png

Ein Zwischenfenster erscheint, in dem Sie aufgefordert werden, uns die E-Mail-Adresse Ihres/Ihrer technischen Administrators:in zu übermitteln. Diese Information hilft uns insbesondere dabei, bei Bedarf unsere:n Ansprechpartner:in besser zu identifizieren, oder um Ankündigungen über die Integration von Lucca nach Okta zu machen.

mceclip2.png

Nach absolvieren der ersten beiden Schritte - auf die wir im dritten Schritt zurückkommen -, können Sie die Informationen abrufen, die Sie in die Okta-Schnittstelle kopieren müssen.

mceclip0.png

Schritt 2: Aktivieren von Lucca in Okta

Gehen Sie in Ihrer Okta-Anwendung zum Menü Anwendungen und wählen Sie „App-Katalog durchsuchen“, um die Anwendung „Lucca“ auszuwählen:

mceclip0.png

Sobald Lucca ausgewählt und hinzugefügt wurde, gehen Sie zum „Tab Bereitstellung“ und dann zum Menü Integration.

Geben Sie die erforderlichen und zuvor zusammengestellten Informationen in der Lucca-Schnittstelle für Okta ein. 

  • Basis URL
  • API-Token
  • Import Groups. In diesem Feld können Sie festlegen, ob Sie Gruppen importieren möchten oder nicht, die wir auf der Lucca-Seite nach Abteilungen, rechtlichen Einheiten, Betrieben oder sogar nach dem Land des Betriebs identifizieren.

oktaparam.png

Wenn Sie diesen Schritt abgeschlossen haben, wechseln Sie zum Menü „To Okta“ und wählen Sie „Allow SCIM 2.0 Test App (Header Auth)“, um die Datenquelle zu aktivieren, die Okta verwenden wird. 

mceclip1.png

Schritt 3: Parametrierung der Integration mit Okta in Lucca.

Im ersten Schritt können Sie die Eigenschaften auswählen, die Sie mit Lucca synchronisieren möchten.

Unter Eigenschaften verstehen wir die Benutzer_innendaten, die Sie in Poplee Core HR über die Personalakte verwalten.

mceclip1.png

Wenn Sie die Option in Okta aktiviert haben, legen Sie in einem zweiten Schritt die Gruppen fest, die Sie synchronisieren möchten.

mceclip2.png

Herzlichen Glückwunsch, Ihre Synchronisierung ist aktiv!

Jetzt widmet sich die Schnittstelle der Verwaltung Ihrer ursprünglichen Einstellungen und der Status Ihrer Integration wird in Echtzeit angezeigt.

mceclip3.png

 

optional: Schritt 4: Autorisieren Sie die Synchronisierung zukünftiger Mitarbeitender.

Defaultmäßig werden Mitarbeitende mit einem Vertragsbeginndatum in der Zukunft nicht mit Okta synchronisiert.

Um diese Synchronisierung einzurichten, müssen Sie in der Rollenverwaltung die Berechtigung „Zukünftige Angestellte anzeigen“ auf dem API-Schlüssel Okta API Integration aktivieren.

 

Verwalten der Synchronisierung der Lucca-Datenelemente zu Okta

[Lucca/Okta] Eigenschaften

Lucca-APIs sind API REST

Sie ermöglichen es uns, Ihnen alle Eigenschaften anzuzeigen, die mit jedem/jeder Mitarbeitenden (User) verbunden sind, wie z. B. das Datum des Vertragsbeginns, der Betrieb, die Berufsgruppe, die Stellenbezeichnung oder auch den/die Manager:in. 

Um diese in Okta zu integrieren, haben wir eine Entsprechung zwischen unseren APIs und den SCIM-APIs von Okta entwickelt. Eine Lucca-Eigenschaft wird somit zu einem Benutzer:innen-Attribut für Okta.

Anpassen der Datenelemente von Lucca, die mit Okta synchronisiert werden sollen

Von der Okta-Integrationsschnittstelle aus können Sie eine Eigenschaft von allen Datenelementen, die Sie in Ihrer Personalakte verwalten, hinzufügen oder entfernen. 

4 Eigenschaften sind zwingend und unveränderbar: 

mceclip1.png

 

Hinweis: Personalisierbare zusammengesetzte Daten sowie mehrere Vorkommen

können nicht mit Okta synchronisiert werden.

 

Zuordnung einer Lucca-Eigenschaft zu einem Okta-Attribut 

Es gibt zwei Arten von Attributen:

1. Das in Okta vorhandene Attribut, das auf der Ebene des Benutzer:innenprofils benutzt wird. Dies ist eine Information, die von Okta in Drittsysteme gepusht wird.

2. Das von der API über die Integration ((/ lucca-okta/api/users) zurückgegebene Attribut, das Okta mitteilt, wie es den Wert der Eigenschaft auslesen soll. 

Attribute werden durch die aktivierte Integration zwischen Lucca und Okta verwaltet und gelesen

Erstellen eines Okta-Attributs

Wählen Sie in Okta im linken MenüDirectory → Profile Editor und dann Profil aus.

mceclip4.png

Auf der angezeigten Seite sehen Sie dann die Okta-Attribute, die Sie für die Synchronisierung Ihrer Benutzer:innen aktiviert haben. 

Dort finden Sie:

  • Native Attribute: login, firstName, lastName, etc. found in the SCIM 2.0 standard. Diese Attribute können nicht bearbeitet werden. 
  • Custom Attributes 

mceclip5.png

Klicken Sie auf Add Attribute. Auf der nächsten Seite wird Ihnen dann angezeigt, wie Sie die Custom Attributes einstellen können, die definiert sind über: 

  • einen Typ: String, Integer, Boolean, usw.

  • den angezeigten Namen des Attributs human readable name, der im Benutzer:innenprofil angezeigt wird

  • eine Variable, bei der es sich um den Code des Datenelements handelt, der insbesondere mittels der Lucca-APIs abgebildet werden soll. 

mceclip6.png

Erstellen der Integration mit dem Attribut

Wählen Sie im Menü Directory → Profile Editor und dann Apps und Profil für Lucca aus.

LuccaUser.jpg

Auf dieser Seite werden alle synchronisierten und aktiven, Native und Custom Attribute angezeigt.

Capture_d_e_cran_2021-09-01_a__11.18.13.png

Klicken Sie auf Add Attribute. Auf der daraufhin angezeigten Seite können Sie die Aktivierung der Synchronisierung für das zuvor erstellte Attribut einstellen. 

mceclip9.png

Mit dem Feld External namespace field können Sie Ihr Attribut (für JSON) dem Okta-Schema hinzufügen. Sie finden es jedes Mal im Okta-Framework 2 Standards wieder:

  • urn:ietf:params:scim:schemas:core:2.0:User : associated schema for the attributes of the standard (firstName, lastName, etc.)

  • urn:ietf:params:scim:schemas:extension:enterprise:2.0:User : recommended schema by the SCIM standard for custom attributes (dtContractStart, dtContractEnd, etc.)

Hier ist ein json-Beispiel, das von der Anwendung Lucca.Okta zurückgegeben wird:

scim.png

Nachdem Sie die Schemata validiert haben, geben Sie im Feld external namespace den Wert: "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User" ein

Das war’s.

Parametrieren des Mapping in Okta 

Letzter Schritt: Verwalten des Mappings zwischen den Attributen der Lucca- und Okta-Profile.

Wählen Sie Directory → Profile Editor. dann Apps und klicken Sie auf Mappings der Lucca Integration.

 

Capture_d_e_cran_2021-09-01_a__11.21.10.png

Sie können die Zuordnung Lucca to Okta und Okta to Lucca parametrieren.

Capture_d_e_cran_2021-09-01_a__11.32.38.png

 

Anmerkungen zur Synchronisierung von Okta nach Lucca 

Rollen und Berechtigungen

Defaultmäßig und aus Sicherheitsgründen erlaubt es der Okta-Konnektor für die Lucca-Instanz Okta nicht, die Benutzer:innendaten zu bearbeiten.

Wenn Sie Okta mit Lucca synchronisieren möchten, müssen Sie die Berechtigung für den Okta-Api-Schlüssel bearbeiten.

In der Rollenverwaltung müssen Sie dem API-Schlüssel der Oka-API-Integration die erforderlichen Berechtigungen zum Ändern der Benutzer:innendatei hinzufügen.

mceclip0.png

Die folgenden Berechtigungen sind außerdem für die Okta-Synchronisierung erforderlich -> Lucca:

  • „Lucca“-App -> „Verwaltung der Abteilungen“
  • „Lucca“-App -> „Betriebe und rechtliche Einheiten ändern“

Einschränkungen 

Attribut displayName

- In der Lucca-Umgebung gibt es kein HR-Datenelement displayName, das mit Mitarbeitenden verknüpft ist.

– Defaultmäßig erwartet Okta ein Attribut displayName  unter dem Attribut urn:ietf:params:scim:schemas:core:2.0:User.displayName.

mceclip0.png

Um Ihnen die Konfiguration zu erleichtern, wird das Attribut displayname daher durch die Vervollständigung des Familiennamens (familyName) durch den Vornamen (givenName) bewertet.

 

Wenn Sie jedoch die Okta-Synchronisierung konfiguriert haben -> Lucca auf dem Feld displayname, hat die Synchronisierung dieses Felds keine Auswirkung. Um den Nachnamen oder Vornamen zu ändern, müssen Sie den familyName et givenName synchronisieren.

 

Nicht personalisierbare zusammengesetzte Datenelemente

Daten vom Typ „Nicht personalisierbare zusammengesetzte Daten“ (CSP, Kalender, Betriebe, Abteilungen, Rollen usw.) können nach Okta, aber nicht in die Richtung Okta nach Lucca synchronisiert werden.

mceclip0.png

 

Ebenso können Datenelemente, die in der Personalakte nicht bearbeitbar sind (z. B. die theoretische Vergütung), von Okta nicht bearbeitet werden. 

 

mceclip0.png

 

Typ der umgebungsspezifischen Datenelemente. (Extended Data)

Einfache oder zusammengesetzte Daten, die für die Umgebung erstellt wurden, können derzeit nicht in Richtung Okta -> Lucca synchronisiert werden.

Verwalten der Groups

In Lucca stehen vier Groups zur Verfügung. 

  • Die Abteilungen
  • Die Betriebe
  • Das Land
  • Die rechtlichen Einheiten

Jede Group (/api/groups) ermöglicht es, alle Benutzer:innen zu erhalten, die einer Gruppe zugeordnet sind. 

mceclip4.png

Lucca-Werte. Okta APIs sind wie folgt erhältlich:

  • „LUCCA_LU“ für rechtliche Einheiten
  • „LUCCA_ETS“ für Betriebe
  • „LUCCA_DEPT“ für Abteilungen
  • „LUCCA_COUNTRY“ für Länder

Defaultmäßig sind keine Groups aktiv. Die Synchronisierung dieses Datenelements ist nicht zwingend.

Importieren der Benutzer:innen in Okta

Klicken Sie auf Import und dann auf Import Now.

Capture_d_e_cran_2021-09-01_a__11.34.37.jpg

Wenn der Import abgeschlossen ist, kann je nach Ihrer Parametrierung eine Validierung einiger Datenelemente erforderlich sein. 

Capture_d_e_cran_2021-09-01_a__11.38.17.png

So erhalten Sie einen Importbericht: Directory / People

mceclip3.png

Wenn Sie auf eine:n Benutzer:in klicken, werden die Details der synchronisierten Daten angezeigt

mceclip4.png

Unter Directory/Groups  können Sie auch den Gruppenimportbericht einsehen, falls Sie diesen generiert haben.

mceclip2.png

 

 

Die Gruppen sind nicht in der Richtung Okta nach Lucca synchronisierbar.

Contenu de la page

War dieser Beitrag hilfreich?
3 von 3 fanden dies hilfreich