Konfiguracja synchronizacji katalogu SCIM (provisioning)

Gdy logowanie jednokrotne jest aktywne, CalendarBridge może automatycznie tworzyć, aktualizować i dezaktywować konta użytkowników z Twojego dostawcy tożsamości za pomocą SCIM 2.0. Oznacza to, że użytkownicy są provisionowani w momencie przypisania w Twoim katalogu i deprovisionowani w momencie odejścia — bez ręcznego zarządzania licencjami.

C Chad Zaktualizowano 16 czerwca 2026 6 min czytania

Co robi provisioning SCIM

SCIM (System for Cross-domain Identity Management) to otwarty standard, którego dostawcy tożsamości używają do przekazywania zmian cyklu życia użytkownika do aplikacji. Gdy SCIM jest włączony, Twój IdP wysyła CalendarBridge żądanie za każdym razem, gdy użytkownik zostaje przypisany, zaktualizowany lub usunięty, a CalendarBridge automatycznie utrzymuje swoją listę użytkowników w synchronizacji.

Twój punkt końcowy i token SCIM

Gdy SCIM jest włączony dla domeny, karta Logowanie jednokrotne wyświetla dwie wartości, których potrzebuje Twój dostawca tożsamości:

WartośćOpis
Punkt końcowy SCIM (Base URL / Tenant URL) Podstawowy adres URL, na który Twój IdP wysyła żądania SCIM. Skopiuj go z karty SSO przyciskiem Kopiuj.
Token bearer (token API / token sekretny) Token uwierzytelniający, który Twój IdP przedstawia przy każdym żądaniu. Jest wyświetlany tylko raz podczas generowania lub rotacji — skopiuj go natychmiast i zapisz w swoim IdP.
warning
Token jest wyświetlany tylko raz Ze względów bezpieczeństwa CalendarBridge wyświetla token bearer jednokrotnie. Jeśli go zgubisz, użyj Rotuj token w sekcji SCIM, aby wygenerować nowy — a następnie zaktualizuj token w swoim IdP, ponieważ stary token przestaje działać natychmiast.

Uwierzytelnianie

CalendarBridge uwierzytelnia żądania SCIM za pomocą tokenu bearer OAuth 2.0 przedstawianego w nagłówku HTTP Authorization. Wprowadź token w konektorze SCIM swojego IdP dokładnie tak, jak pokazano (w Okta nie dołączaj słowa „Bearer” — Okta dodaje je samodzielnie). Token możesz rotować w dowolnym momencie w sekcji SCIM bez ponownej konfiguracji SSO.

Obsługiwane zasoby i atrybuty

CalendarBridge implementuje zasób Users SCIM 2.0. Atrybuty, które CalendarBridge odczytuje, wymieniono poniżej; dodatkowe atrybuty wysyłane przez Twój IdP są akceptowane i ignorowane.

Atrybut SCIMMapuje się na w CalendarBridgeUwagi
userNameUnikalny login użytkownika (e-mail)Wymagany. Musi znajdować się w zweryfikowanej domenie organizacji.
emails[primary] / emails[work]Adres e-mailUżywany do dopasowania użytkownika do Twojej domeny i SSO.
name.givenNameImięUzupełnia wyświetlaną nazwę.
name.familyNameNazwiskoOpcjonalne.
activeKonto włączone / wyłączoneUstawienie active=false deprovisionuje (dezaktywuje) użytkownika CalendarBridge.
info
Deprovisioning Gdy użytkownik zostaje odprzypisany w Twoim IdP, IdP wysyła aktualizację ustawiającą active=false (usunięcie miękkie), co dezaktywuje użytkownika w CalendarBridge i zwalnia jego licencję. Ponowne przypisanie użytkownika reaktywuje go.

Włączanie SCIM w Twoim dostawcy tożsamości

SCIM provisioning setup

Otwórz kartę Logowanie jednokrotne, znajdź aktywną konfigurację dla swojej domeny i przewiń do sekcji SCIM. Wybierz swojego dostawcę tożsamości z wbudowanego przewodnika, aby uzyskać dokładne ścieżki menu, a następnie postępuj zgodnie z krokami dla swojego IdP poniżej. W każdym przypadku wkleisz punkt końcowy SCIM i token bearer z portalu.

Microsoft Entra ID (Azure AD)

  1. Otwórz blok Provisioning aplikacji

    W centrum administracyjnym Microsoft Entra przejdź do Aplikacje dla przedsiębiorstw, otwórz swoją aplikację CalendarBridge i wybierz Provisioning.

  2. Ustaw tryb Provisioning na Automatyczny

    Następnie wprowadź poświadczenia: Tenant URL = punkt końcowy SCIM z portalu; Secret Token = token bearer z portalu.

  3. Przetestuj połączenie, a następnie zapisz

    Kliknij Test Connection, aby potwierdzić, że Entra ID może dotrzeć do punktu końcowego i uwierzytelnić się, a następnie Zapisz. Pozostaw domyślne mapowania atrybutów użytkownika.

  4. Włącz provisioning i przypisz użytkowników

    Ustaw Provisioning Status na On i zapisz. W sekcji Użytkownicy i grupy przypisz użytkowników lub grupy do synchronizacji. Entra ID provisionuje ich w następnym cyklu.

Okta

  1. Otwórz kartę Provisioning

    W panelu administracyjnym Okta otwórz swoją aplikację CalendarBridge, przejdź do karty Provisioning i kliknij Configure API Integration → Enable API integration.

  2. Wprowadź poświadczenia SCIM

    Base URL = punkt końcowy SCIM z portalu; API token = token bearer z portalu (bez prefiksu Bearer). Kliknij Test API Credentials, następnie Zapisz.

  3. Włącz działania provisioningu

    W sekcji Provisioning → To App włącz Create Users, Update User Attributes oraz Deactivate Users.

  4. Przypisz użytkowników lub grupy

    Przypisz użytkowników lub grupy do aplikacji; Okta wypycha ich do CalendarBridge natychmiast.

Google Workspace

  1. Otwórz Auto-provisioning

    W konsoli administracyjnej Google przejdź do Aplikacje → Aplikacje internetowe i mobilne, otwórz swoją aplikację SAML CalendarBridge i kliknij Auto-provisioning.

  2. Wprowadź poświadczenia SCIM

    Base URL = punkt końcowy SCIM z portalu; API token = token bearer z portalu. Kliknij Test connection.

  3. Zmapuj atrybuty

    Zmapuj Podstawowy e-mail → userName, Imię → name.givenName, Nazwisko → name.familyName.

  4. Ustaw zakres i włącz

    Wybierz użytkowników, jednostki organizacyjne lub grupy do provisioningu, następnie przełącz Auto-provisioning ON.

info
Wymóg edycji Google Workspace Auto-provisioning jest dostępny tylko w Google Workspace Enterprise Standard, Enterprise Plus lub Education Plus. Nie jest dostępny w wersjach Business Starter/Standard/Plus.

JumpCloud

  1. Otwórz Identity Management

    W panelu administracyjnym JumpCloud otwórz swoją aplikację SAML CalendarBridge i przejdź do karty Identity Management.

  2. Włącz SCIM i wprowadź poświadczenia

    Base URL = punkt końcowy SCIM z portalu; Token = token bearer z portalu. Kliknij Test i Zapisz.

  3. Przypisz użytkowników lub grupy

    Przypisz użytkowników lub grupy użytkowników do aplikacji; JumpCloud synchronizuje ich z CalendarBridge.

Rotacja tokenu SCIM

Rotating the SCIM token

Jeśli token został ujawniony, zgubiony lub po prostu chcesz go rotować zgodnie z harmonogramem, kliknij Rotuj token w sekcji SCIM. Nowy token jest wyświetlany raz; poprzedni token przestaje działać natychmiast, więc od razu zaktualizuj go w konektorze SCIM swojego IdP, aby uniknąć przerwy w synchronizacji.

Rozwiązywanie problemów

ObjawPrawdopodobna przyczyna i rozwiązanie
Test połączenia kończy się błędem 401 / brak autoryzacji Token bearer jest nieprawidłowy lub został zrotowany. Skopiuj aktualny token z sekcji SCIM (zrotuj w razie potrzeby) i wprowadź go ponownie. W Okta upewnij się, że nie dodałeś prefiksu Bearer.
Użytkownicy nie są tworzeni Potwierdź, że provisioning jest włączony, użytkownicy są przypisani do aplikacji w Twoim IdP, a ich e-mail znajduje się w zweryfikowanej domenie.
Błąd typu „Użytkownik musi istnieć w zweryfikowanej domenie” Adres userName/e-mail użytkownika znajduje się w domenie, która nie jest zweryfikowana dla tej organizacji. Dodaj i zweryfikuj domenę lub ogranicz zakres provisioningu do zweryfikowanych domen.
Usunięci użytkownicy nadal mają dostęp Deprovisioning następuje, gdy IdP wysyła active=false. Upewnij się, że Deactivate Users (lub odpowiednik w Twoim IdP) jest włączony, a użytkownik został odprzypisany, a nie tylko ukryty.

Uzyskiwanie pomocy

Jeśli provisioning SCIM nie działa zgodnie z oczekiwaniami, skontaktuj się z pomocą techniczną CalendarBridge, podając domenę swojej organizacji, dostawcę tożsamości oraz opis tego, co zostało przypisane, a co zsynchronizowane.