Antes de empezar
Si utiliza una licencia Okta, Lucca permite sincronizar los datos de sus usuarios administrados en Lucca con su directorio de Okta.
A continuación, encontrará todos los pasos necesarios para implementar el conector. Esta ficha va dirigida principalmente a su administrador Okta (DSI o IT).
La interfaz Lucca para Okta, que es gratuita, está disponible a través de la rueda dentada de su entorno Lucca. Si no tiene los derechos, póngase en contacto con nuestro equipo del servicio de soporte.
Funcionalidades compatibles con la aplicación
• Actualización de los atributos de los usuarios.
• Importación de usuarios.
• Importación de grupos.
Servicio de soporte
Como cliente Lucca, puede contactar con nuestro servicio de atención al cliente para plantear cualquier pregunta, comunicar un problema con el funcionamiento, solicitar una mejora o recabar un consejo de uso. Siempre estaremos a su disposición para darle una respuesta adecuada.
Nuestros asesores o nuestros equipos técnicos no están habilitados para acceder a su entorno Okta, su configuración y las autorizaciones que haya definido previamente con su administrador Okta.
Por lo tanto, no dude en explicar con la mayor precisión posible el tipo de problema que ha experimentado, con capturas de pantalla, para que podamos asesorarlo de la mejor manera posible. Asimismo, lo invitamos a incluir en sus solicitudes a su asesor de Okta para facilitarnos la detección del bloqueo.
Activar la sincronización entre Lucca y Okta
Primero: el permiso «Administrar la sincronización OKTA» (permiso Lucca) debe estar activado en la función de la persona responsable de establecer la conexión.
Paso 1: Recopilar los datos de conexión de Lucca para Okta
Desde la rueda dentada de su entorno > Autenticación, SSO y API > Sincronización Okta, comience la integración haciendo clic en el botón del mismo nombre.
Se activará una ventana intermedia con una invitación a facilitarnos el correo de su administrador técnico. Esta información concretamente nos permitirá identificar mejor a nuestros interlocutores si es necesario o si hay que enviar anuncios sobre la integración de Lucca con Okta.
Una vez que haya completado los 2 primeros pasos, a los que volveremos en el paso 3, puede recuperar la información para copiarla en la interfaz de Okta.
Paso 2: Activación de Lucca en Okta
En su aplicación Okta, vaya al menú Aplicaciones y seleccione «Browse App Catalog» para seleccionar la aplicación «Lucca».
Después de seleccionar y añadir Lucca, vaya a «Provisioning tab» y seguidamente al menú Integration.
Introduzca la información necesaria y obtenida previamente en la interfaz de Lucca para Okta.
- Base URL
- API Token
- Import Groups. Esta casilla permite definir su opción de importar, o no, grupos que identificamos en Lucca, por departamentos, unidades legales, establecimientos o, incluso, por el país del establecimiento.
Una vez finalizado este paso, vaya al menú «To Okta» y seleccione «Allow SCIM 2.0 Test App (Header Auth)» para activar el origen de los datos con los que se alimentará Okta.
Paso 3: En Lucca, configure la integración con Okta.
El primer paso permite seleccionar las propiedades que quiera sincronizar con Lucca.
Por propiedades entendemos los datos de los usuarios que gestiona en Poplee Core HR a través del Expediente de Portal RR. HH.
Si ha activado la opción en Okta, defina en el segundo paso los grupos que quiera sincronizar.
¡Enhorabuena! ¡Su sincronización se ha activado!
A partir de ahora, la interfaz se dedicará a administrar su configuración inicial y el estado de su integración se visualizará en tiempo real.
Opcional: Paso 4: autorizar la sincronización de futuros empleados.
Por defecto, los empleados con una fecha de inicio de contrato en el futuro no se sincronizarán con Okta.
Para configurar esta sincronización, debe activar el permiso en la administración de funciones. «Ver futuros empleados» en la clave API Okta api Integración.
Administrar la sincronización de datos de Lucca con Okta
[Lucca/Okta] Las propiedades
Las API de Lucca son API REST.
Nos permiten mostrar todas las propiedades asociadas a cada empleado (user); por ejemplo, su fecha de inicio de contrato, su establecimiento, su categoría socioprofesional, el nombre de su puesto o su mánager.
Para integrarse en Okta, hemos desarrollado una correspondencia entre nuestras API y las API SCIM de Okta. De esta manera, una propiedad de Lucca se convierte en un atributo de usuario para Okta.
Configurar los datos de Lucca que hay que sincronizar con Okta
Desde la interfaz de integración de Okta, usted puede añadir o eliminar una propiedad entre todos los datos que gestiona en su Expediente de Portal RR. HH.
Hay cuatro propiedades obligatorias y no editables:
Nota: Los datos compuestos configurables y repeticiones múltiples
no se pueden sincronizar con Okta.
Asignar una propiedad de Lucca a un atributo de Okta
Hay dos tipos de atributos:
1. El atributo presente en Okta, que se reproduce al nivel del perfil de usuario. Okta impulsa esta información hacia los sistemas de terceros.
2. El atributo devuelto por la API a través de la integración ((/ lucca-okta/api/users) que indica a Okta cómo debe leer el valor de la propiedad.
Los atributos se gestionan y se leen por la integración activada entre Lucca y Okta
Crear un atributo Okta
En Okta, en el menú de la izquierda, seleccione Directory → Profile Editor y seguidamente Profile (perfil).
Aparecerá una página con los atributos Okta que usted ha activado para sincronizar sus usuarios.
Allí verá:
- Los atributos Native: login, firstName, lastName, etc., que se encuentran en la norma SCIM 2.0. Estos atributos no se pueden editar.
-
Los atributos Custom
Haga clic en Add Attribute. La página siguiente le mostrará cómo puede configurar los atributos Custom, que se definen con:
-
Un tipo: string, integer, boolean, etc.
-
El nombre visualizado del atributo Human readable name, que aparecerá en el perfil del usuario.
-
Una variable, que es el código del dato y que, en particular, debe coincidir con las API Lucca.
Crear la integración con el atributo
En el menú, seleccione Directory → Profile Editor y seguidamente Apps y Perfil para Lucca
En esta página se muestran todos los atributos sincronizados y activos, nativos y personalizados.
Haga clic en Add Attribute. La página que aparece le permitirá configurar la activación de la sincronización para el atributo creado previamente.
El campo External namespace field permite añadir su atributo al sistema de Okta (para el json). También encontrará, cada vez, en el framework de Okta 2 normas:
-
urn:ietf:params:scim:schemas:core:2.0:User : associated schema for the attributes of the standard (firstName, lastName, etc.)
-
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User : recommended schema by the SCIM standard for custom attributes (dtContractStart, dtContractEnd, etc.)
Este es un ejemplo del json devuelto por la aplicación Lucca.Okta:
Una vez confirmados los sistemas, rellene el campo external namespace con el valor «urn:ietf:params:scim:schemas:extension:enterprise:2.0:User».
Y ya está.
Configurar las asignaciones en Okta
Último paso: administrar las asignaciones entre los atributos del perfil Lucca y del perfil Okta.
Seleccione Directory → Profile Editor. seguidamente Apps y haga clic en Mappings de la integración Lucca.
Puede configurar la asignación de Lucca con Okta y la de Okta con Lucca.
Notas referentes a la sincronización de Okta con Lucca
Funciones y derechos
De forma predeterminada y por motivos de seguridad, el conector Okta en la instancia Lucca no autoriza a Okta a editar los datos de los usuarios.
Si quiere sincronizar Okta con Lucca, tendrá que editar la autorización de la clave API Okta.
En la administración de las funciones, tendrá que añadir a la clave de API Okta API integración las autorizaciones necesarias para editar la ficha de usuario.
Los siguientes permisos también son necesarios para la sincronización Okta -> Lucca:
- Aplicación «Lucca» -> «Administración de departamentos»
- Solicitud «Lucca» -> «Editar establecimientos y unidades legales»
Limitaciones
Atributo displayName
- En el entorno Lucca, no hay datos de RR. HH. de displayName asociados a los empleados.
- Por defecto, Okta espera un atributo displayName bajo el atributourn:ietf:params:scim:schemas:core:2.0:User.displayName.
Por lo tanto, para facilitar su configuración, el atributo displayname se destaca introduciendo el apellido (familyName) con el nombre (givenName).
Sin embargo, si ha configurado una sincronización Okta -> Lucca en el campo displayname, la sincronización de este campo no tendrá ningún efecto. Para editar el apellido o el nombre, debe sincronizar el familyName et givenName.
Datos compuestos no configurables
Los datos de tipo «Dato compuesto no configurable» (categoría socioprofesional, calendario, establecimientos, departamentos, funciones, etc.). se pueden sincronizar con Okta, pero no se pueden sincronizar en el sentido opuesto, de Okta a Lucca.
Asimismo, los datos que no se pueden editar en el expediente de Portal RR. HH. (el salario teórico, por ejemplo) tampoco pueden ser editados por Okta.
Tipo de datos propios del entorno (Extended Data)
Los datos simples o compuestos creados para el entorno actualmente no son sincronizables en la dirección Okta -> Lucca.
Administrar los grupos
En Lucca hay cuatro grupos disponibles.
- Los departamentos
- Los establecimientos
- El país
- Las unidades legales
Cada grupo (/api/groups) permite tener todos los usuarios vinculados a un grupo.
Los valores Lucca. Las Okta API están disponibles con:
- «LUCCA_LU» para las unidades legales
- «LUCCA_ETS» para los establecimientos
- «LUCCA_DEPT» para los departamentos
- «LUCCA_COUNTRY» para los países
De forma predeterminada, no hay ningún grupo activo. La sincronización de este dato no es obligatoria.
Importar usuarios a Okta
Haga clic en Import y en Import Now.
Cuando finalice la importación, según su configuración, es posible que deba validar algunos datos.
Para obtener un informe de la importación: Directory / People
Si hace clic en un usuario, aparecerán los detalles de los datos sincronizados.
Desde Directory/Groups también puede consultar el informe de importación de los grupos, si lo ha generado usted.
Los grupos no se pueden sincronizar en el sentido de Okta a Lucca.