Configurar SCIM para Vimeo

Las cuentas Enterprise con SSO habilitado pueden utilizar SCIM para crear y gestionar cuentas de miembros de equipos y grupos de usuarios en Vimeo. SCIM (System for Cross-domain Identity Management) es un estándar para automatizar el intercambio de información sobre la identidad del usuario entre dominios de identidad o sistemas de TI.

Esta guía explicará cómo configurar una conexión SCIM con Vimeo para tu organización; utilizaremos Okta como ejemplo de IdP (proveedor de identidad) pero las instrucciones para otros proveedores (OneLogin, GSuite, Azure, etc.) deberían ser similares.

Si ya eres cliente de Vimeo Enterprise y no tienes SCIM, ponte en contacto con tu administrador de cuentas para obtener más información. Si aún no eres cliente de Vimeo Enterprise y estás interesado en SCIM, contáctanos.  

En este artículo:

• ¿Por qué utilizar SCIM?
• Requisitos previos
• Obtener un token de API de Vimeo
• Configuración de SCIM en tu IdP
• Aprovisionamiento de usuarios desde IdP a Vimeo
  • Solución de problemas: Procesamiento de intentos fallidos de SCIM
• Restricciones
• Atributos de soporte (mapeo)

¿Por qué utilizar SCIM?

Si eres nuevo en SCIM, aquí hay algunos ejemplos de cómo puede ser útil y cómo tu IdP (proveedor de identidad, como Okta, OneLogin, GSuite, etc.) puede interactuar con tu cuenta de Vimeo:

• Activar usuarios : Cuando un empleado se une a tu organización, se le crea automáticamente una cuenta de Vimeo con la información de pertenencia al grupo correspondiente y el contenido personalizado.

• Desactivar usuarios: Cuando un empleado abandona tu organización, su cuenta se desactiva automáticamente para garantizar que no tenga acceso a tu cuenta de Vimeo y que no se lleve ninguna de las plazas que estás pagando.

• Actualizar atributos del usuario: Cuando un empleado cambia su nombre o dirección de correo electrónico, su respectiva cuenta de Vimeo se actualiza inmediatamente. Además, cuando has reasignado a un empleado a un departamento diferente y has cambiado su pertenencia a un grupo, su pertenencia a un grupo se actualiza inmediatamente en la cuenta de Vimeo, lo que actualiza el contenido al que puede acceder en Vimeo.

• Activar grupos: Los nuevos grupos creados a través de Okta también se crearán en Vimeo.

• Importar usuarios: Los nuevos usuarios creados en Vimeo pueden descargarse en la pestaña Importar de la aplicación y convertirse en nuevos objetos AppUser, para compararlos con los usuarios existentes de Okta.

• Importar grupos: Los nuevos grupos creados en Vimeo pueden descargarse en la pestaña Importar de la aplicación y convertirse en nuevos objetos AppUser, para compararlos con los grupos Okta existentes.

• En general, si necesitas gestionar miles de cuentas, SCIM es la forma más práctica de hacerlo.

Requisitos previos

Para utilizar SCIM con tu cuenta de Vimeo: 

• Tu cuenta de Vimeo debe tener una membresía de Enterprise y tener el SSO habilitado.
• El SSO debe estar configurado y habilitado en el lado de IdP.
• IdP debe soportar SCIM versión 2; Vimeo no admite SCIM versión 1.

Obtener un token de API de Vimeo

Tendrás que obtener un token de API de Vimeo para empezar. Debe iniciar sesión en la cuenta del propietario para poder hacerlo; los miembros del equipo no pueden acceder a la API.

1. Abre https://developer.vimeo.com.
2. Selecciona Comenzar o Nueva aplicación.
3. Completa el formulario y, a continuación, selecciona Crear aplicación.
   

   ⚠️Nota: Para la pregunta de si otros usuarios además de ti accederán a tu aplicación, selecciona No.

4. Desplázate hasta la sección Generar un token de acceso.
5. Selecciona Autenticado (tú).
6. Selecciona Privado, luego alcances de Scim.
7. Haz clic en Generar .
   
   
8. Copia/guarda el token recién generado en algún lugar, como una aplicación para tomar notas. No omitas este paso; lo necesitarás más adelante. 
   
   

Configuración de SCIM en tu IdP

⚠️Nota: Aquí mostramos Okta como ejemplo, pero los pasos para otros proveedores deberían ser similares.

1. Ve a tu aplicación SAML existente que se utiliza para Vimeo.
2. En la pestaña General, edita Configuración de la aplicación.
3. Cambia el Aprovisionamiento de Ninguno a SCIM.
   
   
4. Ahora debería haber un área o una pestaña de Aprovisionamiento en la aplicación:
   
5. Ve a la pestaña Aprovisionamiento, luego Configuración y luego Integración. Selecciona Editar.
6. introduce la URL base del conector SCIM usando este formato de URL: https://api.vimeo.com/scim/v2/12345678, donde 12345678 es el ID de usuario del propietario del equipo de Vimeo; puedes encontrarlo en la esquina superior izquierda de la página Configuración de cuenta de Vimeo.
7. En el campo "Campo de identificador único para los usuarios", introduce userName.
8. Habilita todas las acciones de aprovisionamiento admitidas que se enumeran aquí.
9. En el menú "Modo de autenticación", selecciona Encabezado de HTTP.
10. En "Autorización", pega el token de API generado por Vimeo.
11. Haz clic en Guardar.
    
    
12. A continuación, ve a la pestaña Aprovisionamiento -> Configuración -> A aplicación.
13. Habilita Crear usuarios, Actualizar atributos de usuarios, Desactivar usuarios.

    ⚠️Nota: Si utilizas un IdP diferente, como Azure, consulta la sección Atributos admitidos a continuación.

14. Selecciona Guardar.
    

Aprovisionamiento de usuarios desde IdP a Vimeo

El paso inicial para comenzar el aprovisionamiento en Okta es asignar usuarios a la aplicación SAML. Si acabas de crear una aplicación SAML para configurar SSO y SCIM, puedes asignar usuarios y se aprovisionarán automáticamente.

Si ya tienes una aplicación SAML con usuarios asignados, estos no serán aprovisionados una vez que se habilite la provisión. Tienes dos opciones en Okta: 

• puedes desasignar y asignar usuarios de nuevo; o
• puedes ponerte en contacto con el servicio de asistencia de Okta y pedir que se habilite una función denominada "Aprovisionamiento de usuarios no sincronizados", que agregará un botón "Aprovisionar ahora" junto a cada usuario que no se aprovisione después de habilitar el aprovisionamiento.

Una vez que hayas iniciado el aprovisionamiento, podrás ver en la página de configuración del equipo que se han agregado miembros de equipo a tu cuenta de Vimeo.

Ahora también puedes activar Grupos desde tu IdP a Vimeo si lo necesitas:

Solución de problemas: Procesamiento de intentos fallidos de SCIM

Hay casos en los que no se puede migrar a los usuarios a través de SCIM, por ejemplo:

• Un usuario con la misma dirección de correo electrónico ya existe en Vimeo y no está en este equipo de la empresa
• Tu cuenta ha alcanzado el límite de cupos
• Errores de conexión

En estos casos, puedes ir a la página de configuración de tu equipo y descargar una lista de las migraciones fallidas en las que aparece el mensaje de error.

En la mayoría de los casos, para solucionarlos, lo mejor es que te pongas en contacto con tu administrador de cuenta: algunos de ellos pueden solucionarse migrando a los usuarios de Vimeo a tu cuenta de empresa, otros adquiriendo plazas adicionales.

Restricciones

Cuando cambie la información de un usuario en tu IdP, asegúrate de mantener idénticos el nombre de usuario y el correo electrónico.

Atributos de soporte (mapeo)

No admitimos todos los atributos de usuario de SCIM listos para usar. Por ejemplo, el conjunto de atributos por defecto de Azure es mayor que el de Okta y debería reducirse. 

Actualmente Vimeo admite estos atributos de usuario:

• esquemas (solo de lectura, requerido por la especificación SCIM);
• id (solo lectura, requerido por la especificación SCIM);
• userName (mutable, requiere el mismo valor para el correo electrónico);
• nombre (mutable);
• name.formatted (igual que givenName+familyName)
• name.givenName
• name.familyName
• displayName (igual que givenName+familyName)
• Activo (mutable)
• correos electrónicos (solo type=work y primary=true) (mutable)
• profileUrl (solo lectura)
• locale (mutable)
• grupos (solo lectura, mutable desde el punto final /Grupos)
• meta (solo lectura)