Configurar la sincronización de directorio SCIM (aprovisionamiento)
Una vez que el inicio de sesión único está activo, CalendarBridge puede crear, actualizar y desactivar cuentas de usuario automáticamente desde tu proveedor de identidad mediante SCIM 2.0. Esto significa que los usuarios se aprovisionan en el momento en que se les asigna en tu directorio y se desaprovisionan en el momento en que se van, sin gestión manual de licencias.
Qué hace el aprovisionamiento SCIM
SCIM (System for Cross-domain Identity Management) es el estándar abierto que los proveedores de identidad usan para enviar a las aplicaciones los cambios del ciclo de vida de los usuarios. Con SCIM habilitado, tu IdP envía una solicitud a CalendarBridge cada vez que se asigna, actualiza o elimina un usuario, y CalendarBridge mantiene su lista de usuarios sincronizada automáticamente.
- Estándar: SCIM 2.0.
- Requisito previo: una configuración de SSO activa para el mismo dominio verificado. Consulta primero Configurar el inicio de sesión único; la sección de SCIM aparece bajo cada configuración de SSO activa.
- Quién puede configurarlo: solo un administrador de la organización de CalendarBridge.
- Operaciones: crear usuario, actualizar atributos de usuario y desactivar (desaprovisionar) usuario.
Tu endpoint y token de SCIM
Cuando SCIM está habilitado para un dominio, la pestaña Inicio de sesión único muestra dos valores que tu proveedor de identidad necesita:
| Valor | Descripción |
|---|---|
| Endpoint de SCIM (Base URL / Tenant URL) | La URL base a la que tu IdP envía las solicitudes SCIM. Cópiala desde la pestaña SSO con el botón Copiar. |
| Token de portador (token de API / token secreto) | El token de autenticación que tu IdP presenta en cada solicitud. Se muestra solo una vez al generarlo o rotarlo; cópialo de inmediato y guárdalo en tu IdP. |
Autenticación
CalendarBridge autentica las solicitudes SCIM con un token de portador OAuth 2.0 presentado en la cabecera HTTP Authorization. Introduce el token en el conector SCIM de tu IdP exactamente como se muestra (en Okta, no incluyas la palabra «Bearer»; Okta la añade). Puedes rotar el token en cualquier momento desde la sección SCIM sin reconfigurar el SSO.
Recursos y atributos compatibles
CalendarBridge implementa el recurso Users de SCIM 2.0. A continuación se enumeran los atributos que CalendarBridge lee; los atributos adicionales enviados por tu IdP se aceptan y se ignoran.
| Atributo SCIM | Se asigna en CalendarBridge a | Notas |
|---|---|---|
userName | Inicio de sesión único del usuario (correo) | Obligatorio. Debe estar en un dominio verificado de la organización. |
emails[primary] / emails[work] | Dirección de correo electrónico | Se usa para hacer coincidir al usuario con tu dominio y SSO. |
name.givenName | Nombre | Rellena el nombre para mostrar. |
name.familyName | Apellido | Opcional. |
active | Cuenta habilitada / deshabilitada | Establecer active=false desaprovisiona (desactiva) al usuario de CalendarBridge. |
active=false (eliminación lógica), lo que desactiva al usuario en CalendarBridge y libera su licencia. Volver a asignar al usuario lo reactiva.Habilitar SCIM en tu proveedor de identidad
Abre la pestaña Inicio de sesión único, busca la configuración activa de tu dominio y desplázate hasta la sección SCIM. Selecciona tu proveedor de identidad en la guía integrada para ver las rutas de menú exactas, luego sigue los pasos para tu IdP a continuación. En todos los casos pegarás el endpoint de SCIM y el token de portador del portal.
Microsoft Entra ID (Azure AD)
-
Abre la hoja Aprovisionamiento de la app
En el centro de administración de Microsoft Entra, ve a Aplicaciones empresariales, abre tu app de CalendarBridge y selecciona Aprovisionamiento.
-
Establece el modo de aprovisionamiento en Automático
Luego introduce las credenciales: Tenant URL = el endpoint de SCIM del portal; Secret Token = el token de portador del portal.
-
Prueba la conexión y luego guarda
Haz clic en Probar conexión para confirmar que Entra ID puede alcanzar el endpoint y autenticarse, luego Guarda. Deja las asignaciones de atributos de usuario predeterminadas.
-
Activa el aprovisionamiento y asigna usuarios
Establece el Estado del aprovisionamiento en Activado y guarda. En Usuarios y grupos, asigna los usuarios o grupos que se van a sincronizar. Entra ID los aprovisiona en su siguiente ciclo.
Okta
-
Abre la pestaña Provisioning
En el panel de administración de Okta, abre tu app de CalendarBridge, ve a la pestaña Provisioning y haz clic en Configure API Integration → Enable API integration.
-
Introduce las credenciales SCIM
Base URL = el endpoint de SCIM del portal; API token = el token de portador del portal (sin el prefijo
Bearer). Haz clic en Test API Credentials y luego en Save. -
Habilita las acciones de aprovisionamiento
En Provisioning → To App, habilita Create Users, Update User Attributes y Deactivate Users.
-
Asigna usuarios o grupos
Asigna usuarios o grupos a la app; Okta los envía a CalendarBridge de inmediato.
Google Workspace
-
Abre Aprovisionamiento automático
En la consola de administración de Google, ve a Aplicaciones → Aplicaciones web y móviles, abre tu app SAML de CalendarBridge y haz clic en Aprovisionamiento automático.
-
Introduce las credenciales SCIM
Base URL = el endpoint de SCIM del portal; API token = el token de portador del portal. Haz clic en Probar conexión.
-
Asigna atributos
Asigna Correo principal → userName, Nombre → name.givenName, Apellido → name.familyName.
-
Define el alcance y actívalo
Elige los usuarios, UO o grupos que se van a aprovisionar, luego activa Aprovisionamiento automático ACTIVADO.
JumpCloud
-
Abre Identity Management
En el panel de administración de JumpCloud, abre tu app SAML de CalendarBridge y ve a la pestaña Identity Management.
-
Habilita SCIM e introduce las credenciales
Base URL = el endpoint de SCIM del portal; Token = el token de portador del portal. Haz clic en Test y Save.
-
Asigna usuarios o grupos
Asigna usuarios o grupos de usuarios a la app; JumpCloud los sincroniza con CalendarBridge.
Rotar el token de SCIM
Si un token queda expuesto, se pierde o simplemente quieres rotarlo de forma programada, haz clic en Rotar token en la sección SCIM. El nuevo token se muestra una vez; el token anterior deja de funcionar de inmediato, así que actualízalo enseguida en el conector SCIM de tu IdP para evitar una interrupción de la sincronización.
Resolución de problemas
| Síntoma | Causa probable y solución |
|---|---|
| La prueba de conexión falla con 401 / no autorizado | El token de portador es incorrecto o se rotó. Copia el token actual de la sección SCIM (rótalo si es necesario) y vuelve a introducirlo. En Okta, asegúrate de no haber añadido un prefijo Bearer. |
| No se están creando usuarios | Confirma que el aprovisionamiento está activado y que los usuarios están asignados a la app en tu IdP, y que su correo está en un dominio verificado. |
| Error del tipo «El usuario debe existir en un dominio verificado» | El userName/correo del usuario está en un dominio que no está verificado para esta organización. Añade y verifica el dominio, o limita el alcance del aprovisionamiento a los dominios verificados. |
| Los usuarios eliminados aún tienen acceso | El desaprovisionamiento ocurre cuando el IdP envía active=false. Asegúrate de que Deactivate Users (o el equivalente de tu IdP) esté habilitado y de que el usuario fue desasignado, no solo ocultado. |
Obtener ayuda
Si el aprovisionamiento SCIM no se comporta como se espera, contacta con el soporte de CalendarBridge con el dominio de tu organización, tu proveedor de identidad y una descripción de lo que se asignó frente a lo que se sincronizó.