Trimble Identity - veelgestelde vragen over federatie

Zijn er kosten verbonden aan Trimble ID Federation?

Trimble Identity Federation is een gratis uitbreidingsservice bij Trimble ID. Klanten die Trimble ID gebruiken, kunnen een federatie aanvragen.

Wat is het proces van het configureren van een federatie?

Het proces van het configureren van een federatie wordt bepaald door uw identity provider en het protocol (SAML of OIDC) dat uw organisatie gebruikt.

Een Guided Federation wordt geconfigureerd voor alle combinaties van ondersteunde identity providers en protocollen (behalve voor Microsoft Entra ID met OIDC, dat Multi-Tenant is). Er zijn twee processen voor een Guided Federation, die bepaald worden door het protocol van uw organisatie.

SAML Guided Federation:

Figuur 1. Trimble ID SAML federatie proces

OIDC Guided Federation:

Figuur 2. Trimble ID OIDC federatie proces

Wat is het tijdsbestek voor dit proces?

Het tijdsbestek voor het opzetten van federatie verschilt per geval, dat varieert afhankelijk van diverse factoren, zoals:
  • De bereidheid van uw organisatie
  • De reactiesnelheid van uw team bij het aanleveren van informatie (metadata en ander informatie die nodig is voor een goede opzet) aan het Trimble Federatie team
  • De huidige werkdruk van het Trimble Federatie team

Welke gefedereerde identity providers (IdP) worden momenteel ondersteund?

Trimble ID ondersteunt Open ID Connect (OIDC) en SAML protocollen. Dit zijn standaard protocollen ondersteund door de meeste IdPs, zoals Microsoft Entra ID, Microsoft AD FS, Google en Okta.

Het belangrijkste verschil tussen deze protocollen is dat SAML XML-gebaseerde federatie gebruikt, terwijl OIDC JSON gebruikt.

Bovendien is configuratie vooraf van de entiteiten vereist in SAML, waarmee een robuuste configuratie mogelijk is, terwijl OIDC alleen werkt met compatibele identity providers.
Opmerking: Andere IdP's die OAuth 2.0 ondersteunen kunnen ook configureerbaar zijn. Maar vaak vereist dit extra IdP configuratie door uw team. Kiezen voor deze optie betekent meestal dat het opzetten van een Trimble ID federatie meer tijd kost.

Welke hulpmiddelen zijn beschikbaar met betrekking tot Trimble ID Federations?

Ga eerst naar het Trimble Help Center (help.trimble.com) voor meer informatie over Trimble ID federaties.

Zodra u contact hebt opgenomen met het Trimble ID Federations team, gebruikt u het e-mailadres dat zij u geven voor de verdere communicatie.

Kunnen gebruikers die met federatie zijn ingesteld hun MFA instellingen veranderen?

Dit wordt bepaald door de IdP instellingen.

Waar moet de gebruiker zijn voor ondersteuning als hij of zij problemen heeft met inloggen via een gefedereerde identity provider?

Leg uw vragen over inlogproblemen voor aan de IdP beheerder van uw organisatie.

Wat is de antwoord URL/doorstuur URI om te gebruiken voor het configureren van het externe gefedereerde systeem voor OIDC federatie?

Trimble heeft geen gemeenschappelijk doorstuur eindpunt.

Zodra het Trimble ID Federation team de federatie configuratie van uw organisatie voltooid heeft, biedt ons Support team een uniek redirect endpoint (doorstuur eindpunt) aan. Dit eindpunt moet aan uw kant worden geconfigureerd.

Hoe kan de applicatie herkennen dat de gebruiker heeft ingelogd met zijn eigen Trimble ID account of als een gefedereerde gebruiker?

Zowel de Identity toegang als ID tokens bevatten een AMR claim, die aangeeft of de gebruiker zich aangemeld heeft met een gefedereerde bron.

Bovendien bevat het ID token een 'federation_origin' claim, wat betekent dat er een gefedereerde bron is gebruikt. De client applicaties kunnen verwijzen naar de bovenstaande claims in het token om de bron van het inloggen te bepalen.

Is er een manier om alle accounts verzorgd door een federatie te verwijderen? Moeten we de gekoppelde accounts verwijderen?

Als u de federatie uit uw account wilt verwijderen, kiest u welke benadering u wilt dat Trimble daarvoor gebruikt.
  • Verwijder alle accounts in een gegeven gefedereerd domein
  • Zet alle accounts om naar normale Trimble accounts. In dit geval moet elke gebruiker een wachtwoord instellen via het normale Identity inlogproces.

Bij gebruik van SAML krijg ik dit bericht: "Fout! Fout opgetreden in SAML Identity call vanwege: Aanvraag ondertekening certificaat niet gevonden."

De Trimble ID SAML implementatie vereist momenteel de geleverde metadata inclusief een ondertekening certificaat.

Uw service provider zou een configuratie instelling moeten hebben genaamd "Ondertekende aanvraag inschakelen." Schakel deze configuratie instelling in.

Vanaf hier downloadt u de metadata voor de Service Provider (SP) opnieuw. De nieuwe metadata bevat het vereiste certificaat en u kunt het opnieuw proberen.

Waarom kan een bedrijfsbeheerder niet de dataresidentie instellingen kiezen voor alle Trimble Identity gebruikers in het bedrijf? We willen niet dat individuele gebruikers dit zelf kunnen kiezen.

De dataresidentie instellingen van een gebruiker worden bepaald door wie de data van de gebruiker beheert, wat is gebaseerd op of de gebruiker al dan niet gefedereerd is.
  • Indien niet gefedereerd, heeft de gebruiker controle over de data. Deze gebruiker kan tot meerdere accounts/bedrijven behoren, die conflicterende behoeften wat betreft data instellingen kunnen vereisen of hebben, zodat de gebruiker indien nodig de mogelijkheid heeft de regio in te stellen.
  • Als de gebruiker gefedereerd is, heeft de Identity Provider (IdP) van de gebruiker controle over de data. Bij federatie besluit het bedrijf bij welke regio zij willen dat hun gebruikers horen.
    Opmerking: De federatie van een bedrijf kan maar bij één regio horen.