Configurar a sincronização de diretório SCIM (Provisionamento)

Uma vez que o logon único esteja ativo, o CalendarBridge pode criar, atualizar e desativar contas de usuário automaticamente a partir do seu provedor de identidade usando SCIM 2.0. Isso significa que os usuários são provisionados no momento em que são atribuídos no seu diretório e desprovisionados no momento em que saem — sem gerenciamento manual de licenças.

C Chad Atualizado em 16 de junho de 2026 6 min de leitura

O que o provisionamento SCIM faz

O SCIM (System for Cross-domain Identity Management) é o padrão aberto que os provedores de identidade usam para enviar mudanças no ciclo de vida dos usuários para os aplicativos. Com o SCIM habilitado, seu IdP envia ao CalendarBridge uma requisição sempre que um usuário é atribuído, atualizado ou removido, e o CalendarBridge mantém sua lista de usuários sincronizada automaticamente.

Seu endpoint e token SCIM

Quando o SCIM está habilitado para um domínio, a aba Logon Único mostra dois valores de que seu provedor de identidade precisa:

ValorDescrição
Endpoint SCIM (URL base / URL do locatário) A URL base para a qual seu IdP envia as requisições SCIM. Copie-a da aba SSO com o botão Copiar.
Token bearer (token de API / token secreto) O token de autenticação que seu IdP apresenta em cada requisição. Ele é exibido apenas uma vez quando gerado ou rotacionado — copie-o imediatamente e armazene-o no seu IdP.
warning
O token é exibido apenas uma vez Por segurança, o CalendarBridge exibe o token bearer uma única vez. Se você perdê-lo, use Rotacionar token na seção SCIM para gerar um novo — depois atualize o token no seu IdP, porque o token antigo para de funcionar imediatamente.

Autenticação

O CalendarBridge autentica as requisições SCIM com um token bearer OAuth 2.0 apresentado no cabeçalho HTTP Authorization. Insira o token no conector SCIM do seu IdP exatamente como mostrado (no Okta, não inclua a palavra "Bearer" — o Okta a adiciona). Você pode rotacionar o token a qualquer momento na seção SCIM sem reconfigurar o SSO.

Recursos e atributos suportados

O CalendarBridge implementa o recurso Users do SCIM 2.0. Os atributos que o CalendarBridge lê estão listados abaixo; atributos adicionais enviados pelo seu IdP são aceitos e ignorados.

Atributo SCIMMapeia para no CalendarBridgeNotas
userNameLogin exclusivo do usuário (e-mail)Obrigatório. Deve estar em um domínio verificado da organização.
emails[primary] / emails[work]Endereço de e-mailUsado para associar o usuário ao seu domínio e ao SSO.
name.givenNameNomePreenche o nome de exibição.
name.familyNameSobrenomeOpcional.
activeConta habilitada / desabilitadaDefinir active=false desprovisiona (desativa) o usuário do CalendarBridge.
info
Desprovisionamento Quando um usuário é desatribuído no seu IdP, o IdP envia uma atualização definindo active=false (exclusão suave), o que desativa o usuário no CalendarBridge e libera sua licença. Reatribuir o usuário o reativa.

Habilitar o SCIM no seu provedor de identidade

SCIM provisioning setup

Abra a aba Logon Único, encontre a configuração ativa do seu domínio e role até a seção SCIM. Selecione seu provedor de identidade no guia integrado para os caminhos de menu exatos e siga as etapas para o seu IdP abaixo. Em todos os casos, você colará o endpoint e o token bearer SCIM do portal.

Microsoft Entra ID (Azure AD)

  1. Abra a lâmina Provisionamento do app

    No centro de administração do Microsoft Entra, vá em Aplicativos empresariais, abra seu app do CalendarBridge e selecione Provisionamento.

  2. Defina o Modo de Provisionamento como Automático

    Em seguida, insira as credenciais: URL do locatário = o endpoint SCIM do portal; Token secreto = o token bearer do portal.

  3. Teste a conexão e depois salve

    Clique em Testar conexão para confirmar que o Entra ID consegue acessar o endpoint e autenticar, depois clique em Salvar. Deixe os mapeamentos de atributos de usuário padrão.

  4. Ative o provisionamento e atribua usuários

    Defina o Status de Provisionamento como Ativado e salve. Em Usuários e grupos, atribua os usuários ou grupos a sincronizar. O Entra ID os provisiona no próximo ciclo.

Okta

  1. Abra a aba Provisioning

    No Okta Admin, abra seu app do CalendarBridge, vá até a aba Provisioning e clique em Configure API Integration → Enable API integration.

  2. Insira as credenciais SCIM

    Base URL = o endpoint SCIM do portal; API token = o token bearer do portal (sem o prefixo Bearer). Clique em Test API Credentials e depois em Save.

  3. Habilite as ações de provisionamento

    Em Provisioning → To App, habilite Create Users, Update User Attributes e Deactivate Users.

  4. Atribua usuários ou grupos

    Atribua usuários ou grupos ao app; o Okta os envia ao CalendarBridge imediatamente.

Google Workspace

  1. Abra o Provisionamento automático

    No Google Admin console, vá em Apps → Aplicativos web e para dispositivos móveis, abra seu app SAML do CalendarBridge e clique em Provisionamento automático.

  2. Insira as credenciais SCIM

    Base URL = o endpoint SCIM do portal; API token = o token bearer do portal. Clique em Testar conexão.

  3. Mapeie os atributos

    Mapeie E-mail principal → userName, Nome → name.givenName, Sobrenome → name.familyName.

  4. Defina o escopo e ative

    Escolha os usuários, UOs ou grupos a provisionar, depois ative Provisionamento automático ATIVADO.

info
Requisito de edição do Google Workspace O provisionamento automático está disponível apenas no Google Workspace Enterprise Standard, Enterprise Plus ou Education Plus. Não está disponível nos níveis Business Starter/Standard/Plus.

JumpCloud

  1. Abra Identity Management

    No JumpCloud Admin, abra seu app SAML do CalendarBridge e vá até a aba Identity Management.

  2. Habilite o SCIM e insira as credenciais

    Base URL = o endpoint SCIM do portal; Token = o token bearer do portal. Clique em Test e Save.

  3. Atribua usuários ou grupos

    Atribua usuários ou grupos de usuários ao app; o JumpCloud os sincroniza com o CalendarBridge.

Rotacionar o token SCIM

Rotating the SCIM token

Se um token for exposto, perdido ou você simplesmente quiser rotacioná-lo periodicamente, clique em Rotacionar token na seção SCIM. O novo token é exibido uma vez; o token anterior para de funcionar imediatamente, então atualize-o no conector SCIM do seu IdP imediatamente para evitar uma interrupção da sincronização.

Solução de problemas

SintomaCausa provável e correção
O teste de conexão falha com 401 / não autorizado O token bearer está errado ou foi rotacionado. Copie o token atual da seção SCIM (rotacione se necessário) e insira-o novamente. No Okta, certifique-se de não ter adicionado um prefixo Bearer.
Os usuários não estão sendo criados Confirme que o provisionamento está ativado e que os usuários estão atribuídos ao app no seu IdP, e que o e-mail deles está em um domínio verificado.
Erro do tipo "O usuário deve existir em um domínio verificado" O userName/e-mail do usuário está em um domínio que não é verificado para esta organização. Adicione e verifique o domínio, ou limite o escopo de provisionamento a domínios verificados.
Usuários removidos ainda têm acesso O desprovisionamento ocorre quando o IdP envia active=false. Certifique-se de que Deactivate Users (ou o equivalente do seu IdP) esteja habilitado e que o usuário tenha sido desatribuído, e não apenas ocultado.

Obter ajuda

Se o provisionamento SCIM não estiver se comportando como esperado, entre em contato com o suporte do CalendarBridge com o domínio da sua organização, seu provedor de identidade e uma descrição do que foi atribuído em comparação com o que foi sincronizado.