Configurazione della sincronizzazione directory SCIM (Provisioning)

Una volta che il single sign-on è attivo, CalendarBridge può creare, aggiornare e disattivare automaticamente gli account utente dal tuo provider di identità tramite SCIM 2.0. Questo significa che gli utenti ricevono il provisioning nel momento in cui vengono assegnati nella tua directory e il deprovisioning nel momento in cui escono — senza gestione manuale delle licenze.

C Chad Aggiornato il 16 giugno 2026 6 min di lettura

Cosa fa il provisioning SCIM

SCIM (System for Cross-domain Identity Management) è lo standard aperto che i provider di identità usano per inviare le modifiche del ciclo di vita degli utenti alle applicazioni. Con SCIM abilitato, il tuo IdP invia a CalendarBridge una richiesta ogni volta che un utente viene assegnato, aggiornato o rimosso, e CalendarBridge mantiene automaticamente sincronizzato il proprio elenco utenti.

Standard: SCIM 2.0.
Prerequisito: una configurazione SSO attiva per lo stesso dominio verificato. Vedi prima Configurazione del Single Sign-On — la sezione SCIM appare sotto ogni configurazione SSO attiva.
Chi può configurarlo: solo un amministratore dell'organizzazione CalendarBridge.
Operazioni: creazione utente, aggiornamento degli attributi utente e disattivazione (deprovisioning) dell'utente.

Il tuo endpoint SCIM e il token

Quando SCIM è abilitato per un dominio, la scheda Single Sign-On mostra due valori di cui il tuo provider di identità ha bisogno:

Valore	Descrizione
Endpoint SCIM (Base URL / Tenant URL)	L'URL di base a cui il tuo IdP invia le richieste SCIM. Copialo dalla scheda SSO con il pulsante Copia.
Bearer token (API token / Secret token)	Il token di autenticazione che il tuo IdP presenta a ogni richiesta. Viene mostrato solo una volta, quando viene generato o ruotato — copialo immediatamente e archivialo nel tuo IdP.

warning

Il token viene mostrato solo una volta Per sicurezza, CalendarBridge visualizza il bearer token una sola volta. Se lo perdi, usa Ruota token nella sezione SCIM per generarne uno nuovo — poi aggiorna il token nel tuo IdP, perché il vecchio token smette di funzionare immediatamente.

Autenticazione

CalendarBridge autentica le richieste SCIM con un bearer token OAuth 2.0 presentato nell'intestazione HTTP Authorization. Inserisci il token nel connettore SCIM del tuo IdP esattamente come mostrato (in Okta, non includere la parola "Bearer" — Okta la aggiunge). Puoi ruotare il token in qualsiasi momento dalla sezione SCIM senza riconfigurare l'SSO.

Risorse e attributi supportati

CalendarBridge implementa la risorsa SCIM 2.0 Users. Gli attributi che CalendarBridge legge sono elencati di seguito; gli attributi aggiuntivi inviati dal tuo IdP vengono accettati e ignorati.

Attributo SCIM	Mappato in CalendarBridge a	Note
`userName`	Login univoco dell'utente (email)	Obbligatorio. Deve essere su un dominio verificato per l'organizzazione.
`emails[primary]` / `emails[work]`	Indirizzo email	Usato per abbinare l'utente al tuo dominio e all'SSO.
`name.givenName`	Nome	Popola il nome visualizzato.
`name.familyName`	Cognome	Facoltativo.
`active`	Account abilitato / disabilitato	Impostare `active=false` esegue il deprovisioning (disattiva) dell'utente CalendarBridge.

info

Deprovisioning Quando un utente viene rimosso dall'assegnazione nel tuo IdP, l'IdP invia un aggiornamento che imposta active=false (soft delete), che disattiva l'utente in CalendarBridge e libera la sua licenza. Riassegnare l'utente lo riattiva.

Abilitazione di SCIM nel tuo provider di identità

Apri la scheda Single Sign-On, trova la configurazione attiva per il tuo dominio e scorri fino alla sezione SCIM. Seleziona il tuo provider di identità dalla guida integrata per i percorsi di menu esatti, poi segui i passaggi per il tuo IdP qui sotto. In ogni caso incollerai l'endpoint SCIM e il bearer token dal portale.

Microsoft Entra ID (Azure AD)

Apri il blade Provisioning dell'app

Nell'interfaccia di amministrazione di Microsoft Entra, vai a Applicazioni enterprise, apri la tua app CalendarBridge e seleziona Provisioning.
Imposta la modalità di provisioning su Automatico

Poi inserisci le credenziali: Tenant URL = l'endpoint SCIM dal portale; Secret Token = il bearer token dal portale.
Testa la connessione, poi salva

Fai clic su Test Connection per confermare che Entra ID può raggiungere l'endpoint e autenticarsi, poi Salva. Lascia le mappature predefinite degli attributi utente.
Attiva il provisioning e assegna gli utenti

Imposta Provisioning Status su On e salva. In Utenti e gruppi, assegna gli utenti o i gruppi da sincronizzare. Entra ID ne esegue il provisioning al ciclo successivo.

Okta

Apri la scheda Provisioning

In Okta Admin, apri la tua app CalendarBridge, vai alla scheda Provisioning e fai clic su Configure API Integration → Enable API integration.
Inserisci le credenziali SCIM

Base URL = l'endpoint SCIM dal portale; API token = il bearer token dal portale (senza un prefisso Bearer). Fai clic su Test API Credentials, poi Save.
Abilita le azioni di provisioning

In Provisioning → To App, abilita Create Users, Update User Attributes e Deactivate Users.
Assegna utenti o gruppi

Assegna utenti o gruppi all'app; Okta li invia immediatamente a CalendarBridge.

Google Workspace

Apri l'auto-provisioning

Nella console di amministrazione di Google, vai a App → App web e per dispositivi mobili, apri la tua app SAML CalendarBridge e fai clic su Auto-provisioning.
Inserisci le credenziali SCIM

Base URL = l'endpoint SCIM dal portale; API token = il bearer token dal portale. Fai clic su Test connection.
Mappa gli attributi

Mappa Email primaria → userName, Nome → name.givenName, Cognome → name.familyName.
Imposta l'ambito e attivalo

Scegli gli utenti, le unità organizzative o i gruppi di cui eseguire il provisioning, poi attiva Auto-provisioning ON.

info

Requisito di edizione di Google Workspace L'auto-provisioning è disponibile solo su Google Workspace Enterprise Standard, Enterprise Plus o Education Plus. Non è disponibile sui livelli Business Starter/Standard/Plus.

JumpCloud

Apri Identity Management

In JumpCloud Admin, apri la tua app SAML CalendarBridge e vai alla scheda Identity Management.
Abilita SCIM e inserisci le credenziali

Base URL = l'endpoint SCIM dal portale; Token = il bearer token dal portale. Fai clic su Test e Save.
Assegna utenti o gruppi

Assegna utenti o gruppi di utenti all'app; JumpCloud li sincronizza con CalendarBridge.

Rotazione del token SCIM

Se un token viene esposto, perso, o semplicemente vuoi ruotarlo periodicamente, fai clic su Ruota token nella sezione SCIM. Il nuovo token viene mostrato una volta; il token precedente smette di funzionare immediatamente, quindi aggiornalo subito nel connettore SCIM del tuo IdP per evitare un'interruzione della sincronizzazione.

Risoluzione dei problemi

Sintomo	Causa probabile e soluzione
Il test di connessione fallisce con 401 / non autorizzato	Il bearer token è errato o è stato ruotato. Copia il token corrente dalla sezione SCIM (ruotalo se necessario) e reinseriscilo. In Okta, assicurati di non aver aggiunto un prefisso `Bearer`.
Gli utenti non vengono creati	Conferma che il provisioning sia attivato e che gli utenti siano assegnati all'app nel tuo IdP, e che la loro email sia su un dominio verificato.
Errore di tipo "L'utente deve esistere su un dominio verificato"	Lo `userName`/email dell'utente è su un dominio non verificato per questa organizzazione. Aggiungi e verifica il dominio, oppure limita l'ambito del provisioning ai domini verificati.
Gli utenti rimossi hanno ancora accesso	Il deprovisioning avviene quando l'IdP invia `active=false`. Assicurati che Deactivate Users (o l'equivalente del tuo IdP) sia abilitato e che l'utente sia stato rimosso dall'assegnazione, non solo nascosto.

Ottenere aiuto

Se il provisioning SCIM non si comporta come previsto, contatta il supporto CalendarBridge indicando il dominio della tua organizzazione, il tuo provider di identità e una descrizione di ciò che è stato assegnato rispetto a ciò che è stato sincronizzato.