Configurar a sincronização de diretório SCIM (Provisionamento)
Uma vez que o logon único esteja ativo, o CalendarBridge pode criar, atualizar e desativar contas de usuário automaticamente a partir do seu provedor de identidade usando SCIM 2.0. Isso significa que os usuários são provisionados no momento em que são atribuídos no seu diretório e desprovisionados no momento em que saem — sem gerenciamento manual de licenças.
O que o provisionamento SCIM faz
O SCIM (System for Cross-domain Identity Management) é o padrão aberto que os provedores de identidade usam para enviar mudanças no ciclo de vida dos usuários para os aplicativos. Com o SCIM habilitado, seu IdP envia ao CalendarBridge uma requisição sempre que um usuário é atribuído, atualizado ou removido, e o CalendarBridge mantém sua lista de usuários sincronizada automaticamente.
- Padrão: SCIM 2.0.
- Pré-requisito: uma configuração de SSO ativa para o mesmo domínio verificado. Consulte Configurar o Logon Único primeiro — a seção SCIM aparece sob cada configuração de SSO ativa.
- Quem pode configurá-lo: somente um administrador da organização do CalendarBridge.
- Operações: criar usuário, atualizar atributos de usuário e desativar (desprovisionar) usuário.
Seu endpoint e token SCIM
Quando o SCIM está habilitado para um domínio, a aba Logon Único mostra dois valores de que seu provedor de identidade precisa:
| Valor | Descrição |
|---|---|
| Endpoint SCIM (URL base / URL do locatário) | A URL base para a qual seu IdP envia as requisições SCIM. Copie-a da aba SSO com o botão Copiar. |
| Token bearer (token de API / token secreto) | O token de autenticação que seu IdP apresenta em cada requisição. Ele é exibido apenas uma vez quando gerado ou rotacionado — copie-o imediatamente e armazene-o no seu IdP. |
Autenticação
O CalendarBridge autentica as requisições SCIM com um token bearer OAuth 2.0 apresentado no cabeçalho HTTP Authorization. Insira o token no conector SCIM do seu IdP exatamente como mostrado (no Okta, não inclua a palavra "Bearer" — o Okta a adiciona). Você pode rotacionar o token a qualquer momento na seção SCIM sem reconfigurar o SSO.
Recursos e atributos suportados
O CalendarBridge implementa o recurso Users do SCIM 2.0. Os atributos que o CalendarBridge lê estão listados abaixo; atributos adicionais enviados pelo seu IdP são aceitos e ignorados.
| Atributo SCIM | Mapeia para no CalendarBridge | Notas |
|---|---|---|
userName | Login exclusivo do usuário (e-mail) | Obrigatório. Deve estar em um domínio verificado da organização. |
emails[primary] / emails[work] | Endereço de e-mail | Usado para associar o usuário ao seu domínio e ao SSO. |
name.givenName | Nome | Preenche o nome de exibição. |
name.familyName | Sobrenome | Opcional. |
active | Conta habilitada / desabilitada | Definir active=false desprovisiona (desativa) o usuário do CalendarBridge. |
active=false (exclusão suave), o que desativa o usuário no CalendarBridge e libera sua licença. Reatribuir o usuário o reativa.Habilitar o SCIM no seu provedor de identidade
Abra a aba Logon Único, encontre a configuração ativa do seu domínio e role até a seção SCIM. Selecione seu provedor de identidade no guia integrado para os caminhos de menu exatos e siga as etapas para o seu IdP abaixo. Em todos os casos, você colará o endpoint e o token bearer SCIM do portal.
Microsoft Entra ID (Azure AD)
-
Abra a lâmina Provisionamento do app
No centro de administração do Microsoft Entra, vá em Aplicativos empresariais, abra seu app do CalendarBridge e selecione Provisionamento.
-
Defina o Modo de Provisionamento como Automático
Em seguida, insira as credenciais: URL do locatário = o endpoint SCIM do portal; Token secreto = o token bearer do portal.
-
Teste a conexão e depois salve
Clique em Testar conexão para confirmar que o Entra ID consegue acessar o endpoint e autenticar, depois clique em Salvar. Deixe os mapeamentos de atributos de usuário padrão.
-
Ative o provisionamento e atribua usuários
Defina o Status de Provisionamento como Ativado e salve. Em Usuários e grupos, atribua os usuários ou grupos a sincronizar. O Entra ID os provisiona no próximo ciclo.
Okta
-
Abra a aba Provisioning
No Okta Admin, abra seu app do CalendarBridge, vá até a aba Provisioning e clique em Configure API Integration → Enable API integration.
-
Insira as credenciais SCIM
Base URL = o endpoint SCIM do portal; API token = o token bearer do portal (sem o prefixo
Bearer). Clique em Test API Credentials e depois em Save. -
Habilite as ações de provisionamento
Em Provisioning → To App, habilite Create Users, Update User Attributes e Deactivate Users.
-
Atribua usuários ou grupos
Atribua usuários ou grupos ao app; o Okta os envia ao CalendarBridge imediatamente.
Google Workspace
-
Abra o Provisionamento automático
No Google Admin console, vá em Apps → Aplicativos web e para dispositivos móveis, abra seu app SAML do CalendarBridge e clique em Provisionamento automático.
-
Insira as credenciais SCIM
Base URL = o endpoint SCIM do portal; API token = o token bearer do portal. Clique em Testar conexão.
-
Mapeie os atributos
Mapeie E-mail principal → userName, Nome → name.givenName, Sobrenome → name.familyName.
-
Defina o escopo e ative
Escolha os usuários, UOs ou grupos a provisionar, depois ative Provisionamento automático ATIVADO.
JumpCloud
-
Abra Identity Management
No JumpCloud Admin, abra seu app SAML do CalendarBridge e vá até a aba Identity Management.
-
Habilite o SCIM e insira as credenciais
Base URL = o endpoint SCIM do portal; Token = o token bearer do portal. Clique em Test e Save.
-
Atribua usuários ou grupos
Atribua usuários ou grupos de usuários ao app; o JumpCloud os sincroniza com o CalendarBridge.
Rotacionar o token SCIM
Se um token for exposto, perdido ou você simplesmente quiser rotacioná-lo periodicamente, clique em Rotacionar token na seção SCIM. O novo token é exibido uma vez; o token anterior para de funcionar imediatamente, então atualize-o no conector SCIM do seu IdP imediatamente para evitar uma interrupção da sincronização.
Solução de problemas
| Sintoma | Causa provável e correção |
|---|---|
| O teste de conexão falha com 401 / não autorizado | O token bearer está errado ou foi rotacionado. Copie o token atual da seção SCIM (rotacione se necessário) e insira-o novamente. No Okta, certifique-se de não ter adicionado um prefixo Bearer. |
| Os usuários não estão sendo criados | Confirme que o provisionamento está ativado e que os usuários estão atribuídos ao app no seu IdP, e que o e-mail deles está em um domínio verificado. |
| Erro do tipo "O usuário deve existir em um domínio verificado" | O userName/e-mail do usuário está em um domínio que não é verificado para esta organização. Adicione e verifique o domínio, ou limite o escopo de provisionamento a domínios verificados. |
| Usuários removidos ainda têm acesso | O desprovisionamento ocorre quando o IdP envia active=false. Certifique-se de que Deactivate Users (ou o equivalente do seu IdP) esteja habilitado e que o usuário tenha sido desatribuído, e não apenas ocultado. |
Obter ajuda
Se o provisionamento SCIM não estiver se comportando como esperado, entre em contato com o suporte do CalendarBridge com o domínio da sua organização, seu provedor de identidade e uma descrição do que foi atribuído em comparação com o que foi sincronizado.