Esercitazione: Configurare Clarizen One per il provisioning utenti automatico

Questa esercitazione descrive le procedure da eseguire sia in Clarizen One che in Azure Active Directory (Azure AD) per configurare il provisioning utenti automatico. Una volta configurato, Azure AD esegue automaticamente il provisioning e il deprovisioning di utenti e gruppi per Clarizen One tramite il servizio di provisioning di Azure AD. Per informazioni su questo servizio e su come funziona, insieme alle domande frequenti, vedere Automatizzare il provisioning e il deprovisioning degli utenti in applicazioni SaaS (software-as-a-service) con Azure AD.

Funzionalità supportate

• Creare utenti in Clarizen One.
• Rimuovere utenti da Clarizen One quando non richiedono più l'accesso.
• Mantenere gli attributi utente sincronizzati tra Azure AD e Clarizen One.
• Effettuare il provisioning di gruppi e appartenenze a gruppi in Clarizen One.
• Accesso Single Sign-On (SSO) a Clarizen One (scelta consigliata).

Prerequisiti

Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga dei prerequisiti seguenti:

• Un tenant di Azure AD.
• Un account utente in Azure AD con l'autorizzazione per configurare il provisioning, ad esempio amministratore di applicazioni, amministratore di applicazioni cloud, proprietario di applicazioni o amministratore globale.
• Un account utente in Clarizen One con autorizzazioniDi integrazione utente e Lite Admin.

Passaggio 1. Pianificare la distribuzione del provisioning

1. Acquisire informazioni su come funziona il servizio di provisioning.
2. Determinare gli utenti che verranno inclusi nell'ambito per il provisioning.
3. Determinare quali dati mappare tra Azure AD e Clarizen One.

Passaggio 2: Configurare Clarizen One per supportare il provisioning con Azure AD

1. Selezionare uno dei quattro URL tenant seguenti in base all'ambiente e al data center di Clarizen One:

   • Data center di produzione USA: https://servicesapp2.clarizen.com/scim/v2
   • Data center di produzione EU: https://serviceseu1.clarizen.com/scim/v2
   • Data center sandbox USA: https://servicesapp.clarizentb.com/scim/v2
   • Data center sandbox EU: https://serviceseu.clarizentb.com/scim/v2

2. Creare una chiave API. Questo valore verrà immesso nel campo Token segreto nella scheda Provisioning dell'applicazione Clarizen One nel portale di Azure.

Passaggio 3. Aggiungere Clarizen One dalla raccolta di applicazioni di Azure AD

Aggiungere Clarizen One dalla raccolta di applicazioni di Azure AD per iniziare a gestire il provisioning in Clarizen One. Se Clarizen One è stato configurato in precedenza per l'accesso SSO, è possibile usare la stessa applicazione. Quando si testa inizialmente l'integrazione, creare un'app separata. Per altre informazioni su come aggiungere un'applicazione dalla raccolta, vedere Aggiungere un'applicazione al tenant di Azure AD.

Passaggio 4. Definire gli utenti che verranno inclusi nell'ambito per il provisioning

Con il servizio di provisioning di Azure AD, è possibile definire l'ambito per gli utenti di cui verrà effettuato il provisioning in base all'assegnazione all'applicazione oppure in base agli attributi dell'utente o del gruppo. Se si sceglie di definire l'ambito degli utenti di cui verrà effettuato il provisioning per l'app in base all'assegnazione, seguire la procedura descritta in Gestire l'assegnazione di utenti per un'app in Azure Active Directory per assegnare utenti e gruppi all'applicazione. Se si sceglie di definire l'ambito degli utenti di cui verrà effettuato il provisioning esclusivamente in base agli attributi dell'utente o del gruppo, usare un filtro per la definizione dell'ambito come descritto in Provisioning dell'applicazione basato su attributi con filtri per la definizione dell'ambito.

• Quando si assegnano utenti e gruppi a Clarizen One, è necessario selezionare un ruolo diverso da Accesso predefinito. Gli utenti con il ruolo Accesso predefinito vengono esclusi dal provisioning e verranno contrassegnati come non autorizzati nei log di provisioning. Se l'unico ruolo disponibile nell'applicazione è il ruolo di accesso predefinito, è possibile aggiornare il manifesto dell'applicazione per aggiungere altri ruoli.
• Iniziare con pochi elementi. Eseguire il test con un piccolo set di utenti e gruppi prima di procedere alla distribuzione generale. Quando l'ambito per il provisioning è impostato su utenti e gruppi assegnati, è possibile mantenere il controllo assegnando uno o due utenti o gruppi all'app. Quando l'ambito è impostato su tutti gli utenti e i gruppi, è possibile specificare un filtro di definizione dell'ambito basato su attributi.

Passaggio 5. Configurare il provisioning utenti automatico in Clarizen One

Questa sezione descrive la procedura per configurare il servizio di provisioning di Azure AD per creare, aggiornare e disabilitare utenti o gruppi in Clarizen One in base alle assegnazioni di utenti o gruppi in Azure AD.

Configurare il provisioning utenti automatico per Clarizen One in Azure AD

1. Accedere al portale di Azure. Selezionare Applicazioni aziendali>Tutte le applicazioni.

   

2. Nell'elenco delle applicazioni selezionare Clarizen One.

   

3. Selezionare la scheda Provisioning.

   

4. Impostare Modalità di provisioning su Automatico.

   

5. Nella sezione Credenziali amministratore immettere l'URL tenant e il token segreto di Clarizen One. Selezionare Test connessione per verificare che Azure AD possa connettersi a Clarizen One. Se la connessione non riesce, verificare che l'account Clarizen One abbia autorizzazioni di amministratore e riprovare.

   

6. Nella casella Indirizzo di posta elettronica per le notifiche immettere l'indirizzo di posta elettronica di una persona o di un gruppo che riceverà le notifiche degli errori di provisioning. Selezionare la casella di controllo Invia una notifica di posta elettronica in caso di errore.

   

7. Selezionare Salva.

8. Nella sezione Mapping selezionare Synchronize Azure Active Directory Users to Clarizen One (Sincronizza utenti di Azure Active Directory con Clarizen One).

9. Esaminare gli attributi utente sincronizzati da Azure AD a Clarizen One nella sezione Mapping di attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in Clarizen One per le operazioni di aggiornamento. Se si cambia l'attributo di destinazione corrispondente, sarà necessario assicurarsi che l'API Clarizen One supporti il filtro degli utenti basato su tale attributo. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

   Attributo	Type
   userName	string
   displayName	string
   active	Boolean
   title	string
   emails[type eq "work"].value	string
   emails[type eq "home"].value	string
   emails[type eq "other"].value	string
   preferredLanguage	string
   name.givenName	string
   name.familyName	string
   name.formatted	string
   name.honorificPrefix	string
   name.honorificSuffix	string
   addresses[type eq "other"].formatted	string
   addresses[type eq "work"].formatted	string
   addresses[type eq "work"].country	string
   addresses[type eq "work"].region	string
   addresses[type eq "work"].locality	string
   addresses[type eq "work"].postalCode	string
   addresses[type eq "work"].streetAddress	string
   phoneNumbers[type eq "work"].value	string
   phoneNumbers[type eq "mobile"].value	string
   phoneNumbers[type eq "fax"].value	string
   phoneNumbers[type eq "home"].value	string
   phoneNumbers[type eq "other"].value	string
   phoneNumbers[type eq "pager"].value	string
   externalId	string
   nickName	string
   locale	string
   roles[primary eq "True".type]	Stringa
   roles[primary eq "True".value]	string
   timezone	string
   userType	string
   urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department	string
   urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber	string
   urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager	Informazioni di riferimento
   urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:costCenter	string
   urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	string
   urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division	string

10. Nella sezione Mapping selezionare Synchronize Azure Active Directory Groups to Clarizen One (Sincronizza gruppi di Azure Active Directory con Clarizen One).

11. Esaminare gli attributi gruppo sincronizzati tra Azure AD e Clarizen One nella sezione Mapping di attributi. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in Clarizen One per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

    Attributo	Type
    displayName	string
    externalId	string
    Membri di	Informazioni di riferimento

12. Per configurare i filtri di definizione dell'ambito, vedere le istruzioni riportate in questa esercitazione.

13. Per abilitare il servizio di provisioning di Azure AD per Clarizen One, impostare Stato del provisioning su Sì nella sezione Impostazioni.

    

14. Definire gli utenti o i gruppi di cui effettuare il provisioning in Clarizen One selezionando i valori appropriati in Ambito nella sezione Impostazioni.

    

15. Quando si è pronti per eseguire il provisioning, selezionare Salva.

    

L'operazione avvia il ciclo di sincronizzazione iniziale di tutti gli utenti e i gruppi definiti in Ambito nella sezione Impostazioni. Il ciclo di sincronizzazione iniziale richiede più tempo dei cicli successivi, che verranno eseguiti ogni 40 minuti circa quando il servizio di provisioning di Azure AD è in esecuzione.

Passaggio 6. Monitorare la distribuzione

Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione.

1. Usare i log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning con esito positivo o negativo.
2. Controllare l'indicatore di stato per visualizzare lo stato del ciclo di provisioning e quanto manca al completamento.
3. Se la configurazione del provisioning sembra essere in uno stato non integro, l'applicazione entrerà in quarantena. Per altre informazioni sugli stati di quarantena, vedere Provisioning delle applicazioni in stato di quarantena.

Suggerimenti per la risoluzione dei problemi

Quando si assegna un utente all'app Clarizen One della raccolta, selezionare solo il ruolo Utente. I ruoli seguenti non sono validi:

• Administrator (admin)
• Email Reporting user
• External user
• Financial user
• Social user
• Superuser
• Tempo spese & utente

Risorse aggiuntive

• Gestione del provisioning degli account utente per le app aziendali
• Informazioni sull'accesso alle applicazioni e Single Sign-On con Azure Active Directory

Passaggi successivi

• Informazioni su come esaminare i log e ottenere report sulle attività di provisioning