以高级用户身份登录Interact并按照说明操作在这里要生成令牌
SCIM设置所需。

OKTA需要采取的步骤

1. 以管理权限登录Okta。选择Okta应用仪表板右上方的Admin进入管理仪表板，如果你还没有在那里。
2. 在左侧面板展开Applications，然后选择Applications子选项
3. 在主面板中选择Browse App Catalog
4. 在浏览应用程序集成目录窗口中搜索SCIM 2.0测试应用程序(OAuth承载令牌)，找到后选择它
5. 选择添加
6. 更改应用程序标签为任何你想要的，例如交互- SCIM
   b.可选地取消勾选“用户登录时自动登录”
7. 选择下一个
8. 在下一页中，您可以为Interact配置SAML选项，如果您希望仅为SCIM使用此测试应用程序，则留空
9. 完成
10. 选择Provisioning选项卡
11. 配置API集成
12. 勾选“启用API集成”框
13. 为您的域输入SCIM URL。https://interactbaseURI/api/v2/scim/v2/哪里interactbaseURI是你的互动网站域名
14. 在交互中输入为SCIM源生成的OAuth令牌
15. 保存
16. 在分配任何用户之前，您需要编辑此应用程序的应用程序配置文件，因为有一个基本SCIM模式中不包括的交互所需属性。
    a.在左侧面板展开“目录”，选择“配置文件编辑器”
    b.找到具有我们刚刚创建的SCIM应用程序名称的配置文件，例如交互- SCIM用户
    c.单击该配置文件的“名称”
    d.选择“+添加属性”
    e.选择/输入以下信息(未声明的值为默认值)
    i.数据类型=字符串
    2显示名称=位置
    3变量名=(由您决定)
    iv.外部名称=位置
    v.外部命名空间= urn:ietf:params:scim:schemas:extension:interactsoftware:2.0:User
    vi.描述=位置的名称。
    7属性要求= True/勾选
    f。保存
    i.注意:前面的过程是交互SCIM模式唯一需要的属性。如果您希望填充其他可选的交互属性，可以按照前面的两个步骤填充任何其他属性。可以找到有关Interact SCIM模式的更多信息在这里．
    现在我们需要将一个值映射到这个属性中，因为它是必需的属性。选择映射
    h.选择“Okta User to APPNAME”页签，其中APPNAME为之前声明的名称
    i.在这个列表的底部，你会发现我们刚刚添加的location属性。将Okta用户属性映射到该字段，该字段与您希望映射到Interact的位置相对应。可以选择使用okta用户预览，以确认这些值是您想要的。这也是一个进行任何其他属性映射调整的好时机。
    j.保存映射
17. 现在您应该能够将用户分配给SCIM应用程序，并将SCIM配置测试到Interact中

故障排除

• 请确保使用OKTA提供的日志记录。这将是检查是否有同步问题的唯一方法。

• Interact的SCIM实现被设计得非常冗长，并提供了所有错误的必要上下文，以确保您拥有解决任何问题所需的一切。

• 您可以通过打开浏览器并使用以下命令来检查SCIM服务是否正常https:// {yourURL} / api / v2 / scim / v2 /健康．如果收到任何错误，您可能想检查一下。

• 错误将提到特定属性的问题。如。
  属性X的错误值类型
  缺少Y属性
  属性Z中的值不符合要求的格式(.....)
  等。

• 如果在测试此功能时管理器同步功能没有工作，则需要确保管理器是正在同步的用户的一部分。管理人员信息的协调必须发生在OKTA方面，而不是在Interact内部…所以经理被要求成为OKTA供应的一部分。

• 如果您收到“工作电话号码试图设置两次”，则解决方法如下:

**删除这些映射:
phonenumber。^ .type主= = true
phonenumber。^(主= = true) value

**添加此映射:
phonenumber。^ value type = =‘工作’

OKTA SCIM支持的已知限制

配置:

• 在Interact中不能有一个在字段名中有问号(即?)或其他特殊字符的附加字段，否则流程将无法工作。当您试图在SCIM中执行任何活动时，将收到Error 500，直到问题得到解决。您需要完全删除该字段，并重新创建没有特殊字符的字段。

• 如果项目为空，OKTA将不会将其推送到interaction。因此，它有效地使用类似于Interact的“ApplyBlank”逻辑的所有字段。“默认值”字段只对初始同步有效，但对后续同步没有帮助。在处理必填字段时，这会导致一个问题。

• 如果你遇到了Power User权限被删除的问题，你需要在OKTA同步中添加urn:ietf:params:scim:schemas:core:2.0:User:userType字段，并为每个用户提供以下值之一:
  “超级用户”,
  “内部网用户”,
  “非内网用户”

为了避免这种情况，您可以创建一个OKTA组(例如。“交互高级用户”)与这些用户，然后添加一个表达式userType字段:isMemberOfGroupName(“交互高级用户”)?“高级用户”:“内网用户”

• 如果您已经运行了同步并删除了“高级用户”访问，则需要手动为用户重新添加此权限。

• 如果由于在Interact中已有一组用户而创建了重复的用户，则需要在OKTA中添加电子邮件和用户名作为查找字段。

• 如果你想添加一个开始日期，可以使用如下公式:

• 如果需要location这样的字段，则可以使用如下表达式确保每次都传递一些内容:user。City != null &&用户。城市!= "" ?用户。城市:'default'

• 如果你想映射地址，你需要映射到交互式字段“格式化”，它应该自动添加为目标，并使用如下公式:
  用户。streetAddress + "， " + user。城市+“，”+用户。state + " " + user.zipCode

• 如果用户在Interact中处于非活动状态，则必须将Active字段设置为true，以迫使其恢复到活动状态。这可以通过始终将Active字段设置为true来实现，因为停用用户是一个单独的过程。

资源供应:

• 如果之前由供应服务管理的用户从应用程序中取消分配，或者从分配给应用程序的组中取消分配，我们将发送禁用请求。此时，用户不再受服务管理，当用户从目录中删除时，我们将不会发送删除请求。

• 不支持在OKTA中禁用的用户。在提供它们之前，它们必须在OKTA中处于活动状态。

• 当用户从“软删除”转为“激活”时，OKTA配置服务将在目标应用程序中激活该用户，但不会自动恢复组成员身份。目标应用程序应该为处于非活动状态的用户维护组成员关系。如果目标应用程序不支持这一点，您可以重新启动供应以更新组成员。