Konfiguracja synchronizacji katalogu SCIM (provisioning)
Gdy logowanie jednokrotne jest aktywne, CalendarBridge może automatycznie tworzyć, aktualizować i dezaktywować konta użytkowników z Twojego dostawcy tożsamości za pomocą SCIM 2.0. Oznacza to, że użytkownicy są provisionowani w momencie przypisania w Twoim katalogu i deprovisionowani w momencie odejścia — bez ręcznego zarządzania licencjami.
Co robi provisioning SCIM
SCIM (System for Cross-domain Identity Management) to otwarty standard, którego dostawcy tożsamości używają do przekazywania zmian cyklu życia użytkownika do aplikacji. Gdy SCIM jest włączony, Twój IdP wysyła CalendarBridge żądanie za każdym razem, gdy użytkownik zostaje przypisany, zaktualizowany lub usunięty, a CalendarBridge automatycznie utrzymuje swoją listę użytkowników w synchronizacji.
- Standard: SCIM 2.0.
- Warunek wstępny: aktywna konfiguracja SSO dla tej samej zweryfikowanej domeny. Najpierw zobacz Konfiguracja logowania jednokrotnego — sekcja SCIM pojawia się pod każdą aktywną konfiguracją SSO.
- Kto może to skonfigurować: tylko administrator organizacji CalendarBridge.
- Operacje: utworzenie użytkownika, aktualizacja atrybutów użytkownika oraz dezaktywacja (deprovisioning) użytkownika.
Twój punkt końcowy i token SCIM
Gdy SCIM jest włączony dla domeny, karta Logowanie jednokrotne wyświetla dwie wartości, których potrzebuje Twój dostawca tożsamości:
| Wartość | Opis |
|---|---|
| Punkt końcowy SCIM (Base URL / Tenant URL) | Podstawowy adres URL, na który Twój IdP wysyła żądania SCIM. Skopiuj go z karty SSO przyciskiem Kopiuj. |
| Token bearer (token API / token sekretny) | Token uwierzytelniający, który Twój IdP przedstawia przy każdym żądaniu. Jest wyświetlany tylko raz podczas generowania lub rotacji — skopiuj go natychmiast i zapisz w swoim IdP. |
Uwierzytelnianie
CalendarBridge uwierzytelnia żądania SCIM za pomocą tokenu bearer OAuth 2.0 przedstawianego w nagłówku HTTP Authorization. Wprowadź token w konektorze SCIM swojego IdP dokładnie tak, jak pokazano (w Okta nie dołączaj słowa „Bearer” — Okta dodaje je samodzielnie). Token możesz rotować w dowolnym momencie w sekcji SCIM bez ponownej konfiguracji SSO.
Obsługiwane zasoby i atrybuty
CalendarBridge implementuje zasób Users SCIM 2.0. Atrybuty, które CalendarBridge odczytuje, wymieniono poniżej; dodatkowe atrybuty wysyłane przez Twój IdP są akceptowane i ignorowane.
| Atrybut SCIM | Mapuje się na w CalendarBridge | Uwagi |
|---|---|---|
userName | Unikalny login użytkownika (e-mail) | Wymagany. Musi znajdować się w zweryfikowanej domenie organizacji. |
emails[primary] / emails[work] | Adres e-mail | Używany do dopasowania użytkownika do Twojej domeny i SSO. |
name.givenName | Imię | Uzupełnia wyświetlaną nazwę. |
name.familyName | Nazwisko | Opcjonalne. |
active | Konto włączone / wyłączone | Ustawienie active=false deprovisionuje (dezaktywuje) użytkownika CalendarBridge. |
active=false (usunięcie miękkie), co dezaktywuje użytkownika w CalendarBridge i zwalnia jego licencję. Ponowne przypisanie użytkownika reaktywuje go.Włączanie SCIM w Twoim dostawcy tożsamości
Otwórz kartę Logowanie jednokrotne, znajdź aktywną konfigurację dla swojej domeny i przewiń do sekcji SCIM. Wybierz swojego dostawcę tożsamości z wbudowanego przewodnika, aby uzyskać dokładne ścieżki menu, a następnie postępuj zgodnie z krokami dla swojego IdP poniżej. W każdym przypadku wkleisz punkt końcowy SCIM i token bearer z portalu.
Microsoft Entra ID (Azure AD)
-
Otwórz blok Provisioning aplikacji
W centrum administracyjnym Microsoft Entra przejdź do Aplikacje dla przedsiębiorstw, otwórz swoją aplikację CalendarBridge i wybierz Provisioning.
-
Ustaw tryb Provisioning na Automatyczny
Następnie wprowadź poświadczenia: Tenant URL = punkt końcowy SCIM z portalu; Secret Token = token bearer z portalu.
-
Przetestuj połączenie, a następnie zapisz
Kliknij Test Connection, aby potwierdzić, że Entra ID może dotrzeć do punktu końcowego i uwierzytelnić się, a następnie Zapisz. Pozostaw domyślne mapowania atrybutów użytkownika.
-
Włącz provisioning i przypisz użytkowników
Ustaw Provisioning Status na On i zapisz. W sekcji Użytkownicy i grupy przypisz użytkowników lub grupy do synchronizacji. Entra ID provisionuje ich w następnym cyklu.
Okta
-
Otwórz kartę Provisioning
W panelu administracyjnym Okta otwórz swoją aplikację CalendarBridge, przejdź do karty Provisioning i kliknij Configure API Integration → Enable API integration.
-
Wprowadź poświadczenia SCIM
Base URL = punkt końcowy SCIM z portalu; API token = token bearer z portalu (bez prefiksu
Bearer). Kliknij Test API Credentials, następnie Zapisz. -
Włącz działania provisioningu
W sekcji Provisioning → To App włącz Create Users, Update User Attributes oraz Deactivate Users.
-
Przypisz użytkowników lub grupy
Przypisz użytkowników lub grupy do aplikacji; Okta wypycha ich do CalendarBridge natychmiast.
Google Workspace
-
Otwórz Auto-provisioning
W konsoli administracyjnej Google przejdź do Aplikacje → Aplikacje internetowe i mobilne, otwórz swoją aplikację SAML CalendarBridge i kliknij Auto-provisioning.
-
Wprowadź poświadczenia SCIM
Base URL = punkt końcowy SCIM z portalu; API token = token bearer z portalu. Kliknij Test connection.
-
Zmapuj atrybuty
Zmapuj Podstawowy e-mail → userName, Imię → name.givenName, Nazwisko → name.familyName.
-
Ustaw zakres i włącz
Wybierz użytkowników, jednostki organizacyjne lub grupy do provisioningu, następnie przełącz Auto-provisioning ON.
JumpCloud
-
Otwórz Identity Management
W panelu administracyjnym JumpCloud otwórz swoją aplikację SAML CalendarBridge i przejdź do karty Identity Management.
-
Włącz SCIM i wprowadź poświadczenia
Base URL = punkt końcowy SCIM z portalu; Token = token bearer z portalu. Kliknij Test i Zapisz.
-
Przypisz użytkowników lub grupy
Przypisz użytkowników lub grupy użytkowników do aplikacji; JumpCloud synchronizuje ich z CalendarBridge.
Rotacja tokenu SCIM
Jeśli token został ujawniony, zgubiony lub po prostu chcesz go rotować zgodnie z harmonogramem, kliknij Rotuj token w sekcji SCIM. Nowy token jest wyświetlany raz; poprzedni token przestaje działać natychmiast, więc od razu zaktualizuj go w konektorze SCIM swojego IdP, aby uniknąć przerwy w synchronizacji.
Rozwiązywanie problemów
| Objaw | Prawdopodobna przyczyna i rozwiązanie |
|---|---|
| Test połączenia kończy się błędem 401 / brak autoryzacji | Token bearer jest nieprawidłowy lub został zrotowany. Skopiuj aktualny token z sekcji SCIM (zrotuj w razie potrzeby) i wprowadź go ponownie. W Okta upewnij się, że nie dodałeś prefiksu Bearer. |
| Użytkownicy nie są tworzeni | Potwierdź, że provisioning jest włączony, użytkownicy są przypisani do aplikacji w Twoim IdP, a ich e-mail znajduje się w zweryfikowanej domenie. |
| Błąd typu „Użytkownik musi istnieć w zweryfikowanej domenie” | Adres userName/e-mail użytkownika znajduje się w domenie, która nie jest zweryfikowana dla tej organizacji. Dodaj i zweryfikuj domenę lub ogranicz zakres provisioningu do zweryfikowanych domen. |
| Usunięci użytkownicy nadal mają dostęp | Deprovisioning następuje, gdy IdP wysyła active=false. Upewnij się, że Deactivate Users (lub odpowiednik w Twoim IdP) jest włączony, a użytkownik został odprzypisany, a nie tylko ukryty. |
Uzyskiwanie pomocy
Jeśli provisioning SCIM nie działa zgodnie z oczekiwaniami, skontaktuj się z pomocą techniczną CalendarBridge, podając domenę swojej organizacji, dostawcę tożsamości oraz opis tego, co zostało przypisane, a co zsynchronizowane.