Trimble Identity Федерация: часто задаваемые вопросы

Есть ли расходы, связанные с федерацией Trimble ID?

Trimble Identity Федерация - это бесплатная дополнительная служба к Trimble ID. Клиенты, которые используют Trimble ID, могут запросить федерацию.

Как происходит настройка федерации?

Процесс настройки федерации определяется поставщиком удостоверений и протоколом (SAML или OIDC), используемым в организации.

Управляемая федерация настраивается для всех комбинаций поддерживаемых поставщиков удостоверений и протоколов (за исключением идентификатора Microsoft Entra ID с OIDC, который является многопользовательским). Существует два процесса для управляемой федерации, которые определяются протоколом вашей организации.

Управляемая федерация SAML:

Рис. 1. Trimble ID Процесс федерации SAML

Управляемая федерация OIDC:

Рис. 2. Trimble IDПроцесс федерации OIDC

Каковы временные рамки этого процесса?

Сроки создания федерации зависят от каждого конкретного случая и зависят от нескольких факторов, таких как:
  • Готовность вашей организации
  • Оперативность предоставления вашей командой информации (метаданных и другой информации, необходимой для правильной настройки) команде федерации Trimble
  • Текущая загрузка команды федерации Trimble

Какие федеративные поставщики удостоверений (IdP) поддерживаются в настоящее время?

Trimble ID поддерживает технологию регистрации Open ID Connect (OIDC) и протоколы SAML. Это стандартные протоколы, которые поддерживает большинство IdP, такие как Microsoft Entra ID, Microsoft AD FS, Google, и Okta.

Основное различие между этими протоколами заключается в том, что SAML использует федерацию на основе XML, тогда как OIDC использует JSON.

Кроме того, в SAML требуется предварительная настройка логических объектов, что обеспечивает надежную настройку, в то время как OIDC работает только с совместимыми поставщиками удостоверений.
Прим.: Также могут быть настроены другие поставщики удостоверений, поддерживающие OAuth 2.0. Однако для этого часто требуется дополнительная настройка поставщика удостоверений вашей командой. Выбор этого параметра обычно увеличивает время выполнения настройки федерации Trimble ID.

Какие ресурсы доступны применительно к федерации Trimble ID?

Сначала перейдите в Trimble Справочный центр (help.trimble.com), чтобы найти информацию о федерациях Trimble ID.

После того как вы обратились в команду федерации Trimble ID, используйте адрес электронной почты, который они предоставят, для постоянного общения.

Могут ли пользователи, для которых настроена федерация, изменять параметры MFA?

Это определяется настройкой IdP.

Куда следует обратиться за поддержкой, если у пользователя возникли проблемы со входом в систему через федеративного поставщика удостоверений?

Направляйте свои вопросы о проблемах со входом администратору поставщика удостоверений вашей организации.

Какой URL-адрес ответа/URI переадресации следует использовать для настройки внешней федеративной системы для федерации OIDC?

Trimble не имеет общей конечной точки переадресации.

После того как команда федерации Trimble ID завершит настройку федерации вашей организации, наша служба поддержки предоставит уникальную конечную точку переадресации. Эту конечную точку необходимо настроить на вашей стороне.

Как приложение может определить, вошел ли пользователь в систему со своей собственной учетной записью Trimble IDили как федеративный пользователь?

Токены доступа к удостоверениям и токены идентификации содержат утверждение AMR, которое указывает, вошел ли пользователь в систему с помощью федеративного источника.

Кроме того, токен идентификации содержит утверждение "federation_origin", что означает, что был использован федеративный источник. Клиентские приложения могут ссылаться на указанные выше утверждения в токен, чтобы определить источник входа в систему.

Есть ли способ удалить все учетные записи, предоставленные федерацией? Нужно ли удалять связанные аккаунты?

Если вы хотите удалить режим федерации из своей учетной записи, выберите, какой подход следует использовать Trimble.
  • Удаление всех учетных записей в определенном федеративном домене
  • Преобразование всех учетных записей в исходные учетные записи Trimble. В этом случае каждому пользователю потребуется настроить пароль с помощью обычного процесса входа в систему.

При использовании SAML я получаю следующее сообщение: "Ошибка! Произошла ошибка в вызове SAML Identity из-за того, что сертификат подписи запроса не найден".

В настоящее время реализация SAML Trimble ID требует, чтобы предоставленные метаданные включали сертификат подписи.

У поставщика услуг должен быть параметр конфигурации "Включить подписанный запрос". Включите этот параметр конфигурации.

Снова загрузите оттуда метаданные для поставщика услуг (SP). Новые метаданные будут содержать необходимый сертификат, и вы сможете повторить попытку.

Почему администратор компании не может выбрать параметры размещения данных для всех пользователей Trimble Identity в компании? Мы не хотим давать возможность отдельным пользователям выбирать это для себя.

Параметры расположения данных пользователя определяются тем, кто контролирует данные пользователя, и в зависимости от того, является ли пользователь федеративным или нет.
  • Если пользователь не является федеративным, то пользователь контролирует данные. Этот пользователь может принадлежать к нескольким учетным записям/компаниям, которые могут требовать или иметь противоречивые потребности в параметрах данных, поэтому у пользователя есть возможность установить свой регион по мере необходимости.
  • Если пользователь является федеративным, поставщик удостоверений (IdP) пользователя контролирует данные. С помощью федерации компания решает, с каким регионом они хотят, чтобы ее пользователи были связаны.
    Прим.: Федерация компании может быть связана только с одним регионом.