Настройка синхронизации каталогов SCIM (провижининг)

Как только единый вход активен, CalendarBridge может автоматически создавать, обновлять и деактивировать учётные записи пользователей из вашего поставщика идентификации с помощью SCIM 2.0. Это означает, что пользователи провижинятся в тот момент, когда они назначены в вашем каталоге, и деприовижинятся в тот момент, когда они уходят — без ручного управления лицензиями.

C Chad Обновлено 16 июня 2026 г. 6 мин чтения

Что делает SCIM-провижининг

SCIM (System for Cross-domain Identity Management) — это открытый стандарт, который поставщики идентификации используют для передачи изменений жизненного цикла пользователей в приложения. Когда SCIM включён, ваш IdP отправляет CalendarBridge запрос всякий раз, когда пользователь назначается, обновляется или удаляется, и CalendarBridge автоматически поддерживает свой список пользователей в актуальном состоянии.

Ваш эндпоинт SCIM и токен

Когда SCIM включён для домена, на вкладке «Единый вход» отображаются два значения, необходимые вашему поставщику идентификации:

ЗначениеОписание
Эндпоинт SCIM (Base URL / Tenant URL) Базовый URL, на который ваш IdP отправляет запросы SCIM. Скопируйте его со вкладки SSO кнопкой «Копировать».
Bearer-токен (API token / Secret token) Токен аутентификации, который ваш IdP предъявляет при каждом запросе. Он показывается только один раз при генерации или ротации — скопируйте его сразу и сохраните в своём IdP.
warning
Токен показывается только один раз В целях безопасности CalendarBridge отображает bearer-токен единожды. Если вы его потеряете, используйте «Rotate token» в разделе SCIM, чтобы сгенерировать новый — затем обновите токен в своём IdP, потому что старый токен немедленно перестаёт работать.

Аутентификация

CalendarBridge аутентифицирует запросы SCIM с помощью bearer-токена OAuth 2.0, предъявляемого в HTTP-заголовке Authorization. Введите токен в коннекторе SCIM вашего IdP в точности как показано (в Okta не включайте слово «Bearer» — Okta добавляет его сама). Вы можете ротировать токен в любой момент из раздела SCIM без перенастройки SSO.

Поддерживаемые ресурсы и атрибуты

CalendarBridge реализует ресурс Users SCIM 2.0. Атрибуты, которые читает CalendarBridge, перечислены ниже; дополнительные атрибуты, отправляемые вашим IdP, принимаются и игнорируются.

Атрибут SCIMСопоставляется в CalendarBridge сПримечания
userNameУникальный логин пользователя (email)Обязательный. Должен быть в подтверждённом домене организации.
emails[primary] / emails[work]Адрес электронной почтыИспользуется для сопоставления пользователя с вашим доменом и SSO.
name.givenNameИмяЗаполняет отображаемое имя.
name.familyNameФамилияНеобязательный.
activeУчётная запись включена / отключенаУстановка active=false деприовижинит (деактивирует) пользователя CalendarBridge.
info
Деприовижининг Когда пользователь снимается с назначения в вашем IdP, IdP отправляет обновление с установкой active=false (мягкое удаление), которое деактивирует пользователя в CalendarBridge и освобождает его лицензию. Повторное назначение пользователя реактивирует его.

Включение SCIM в вашем поставщике идентификации

Откройте вкладку «Единый вход», найдите активную конфигурацию для вашего домена и прокрутите до раздела SCIM. Выберите своего поставщика идентификации из встроенного руководства для точных путей меню, затем следуйте шагам для вашего IdP ниже. В каждом случае вы будете вставлять эндпоинт SCIM и bearer-токен из портала.

Microsoft Entra ID (Azure AD)

  1. Откройте раздел Provisioning приложения

    В центре администрирования Microsoft Entra перейдите в Enterprise applications, откройте ваше приложение CalendarBridge и выберите Provisioning.

  2. Установите Provisioning Mode на Automatic

    Затем введите учётные данные: Tenant URL = эндпоинт SCIM из портала; Secret Token = bearer-токен из портала.

  3. Test Connection, затем Save

    Нажмите Test Connection, чтобы подтвердить, что Entra ID может достичь эндпоинта и аутентифицироваться, затем Save. Оставьте сопоставления атрибутов пользователя по умолчанию.

  4. Включите провижининг и назначьте пользователей

    Установите Provisioning Status на On и сохраните. В разделе Users and groups назначьте пользователей или группы для синхронизации. Entra ID провижинит их в следующем цикле.

Okta

  1. Откройте вкладку Provisioning

    В Okta Admin откройте ваше приложение CalendarBridge, перейдите на вкладку Provisioning и нажмите Configure API Integration → Enable API integration.

  2. Введите учётные данные SCIM

    Base URL = эндпоинт SCIM из портала; API token = bearer-токен из портала (без префикса Bearer). Нажмите Test API Credentials, затем Save.

  3. Включите действия провижининга

    В разделе Provisioning → To App включите Create Users, Update User Attributes и Deactivate Users.

  4. Назначьте пользователей или группы

    Назначьте пользователей или группы приложению; Okta немедленно передаёт их в CalendarBridge.

Google Workspace

  1. Откройте Auto-provisioning

    В консоли Google Admin перейдите в Apps → Web and mobile apps, откройте ваше приложение SAML CalendarBridge и нажмите Auto-provisioning.

  2. Введите учётные данные SCIM

    Base URL = эндпоинт SCIM из портала; API token = bearer-токен из портала. Нажмите Test connection.

  3. Сопоставьте атрибуты

    Сопоставьте Primary email → userName, First name → name.givenName, Last name → name.familyName.

  4. Задайте область и включите

    Выберите пользователей, OU или группы для провижининга, затем переключите Auto-provisioning ON.

info
Требование к изданию Google Workspace Авто-провижининг доступен только в Google Workspace Enterprise Standard, Enterprise Plus или Education Plus. Он недоступен в тарифах Business Starter/Standard/Plus.

JumpCloud

  1. Откройте Identity Management

    В JumpCloud Admin откройте ваше приложение SAML CalendarBridge и перейдите на вкладку Identity Management.

  2. Включите SCIM и введите учётные данные

    Base URL = эндпоинт SCIM из портала; Token = bearer-токен из портала. Нажмите Test и Save.

  3. Назначьте пользователей или группы

    Назначьте пользователей или группы пользователей приложению; JumpCloud синхронизирует их с CalendarBridge.

Ротация токена SCIM

Если токен раскрыт, утерян или вы просто хотите ротировать его по расписанию, нажмите «Rotate token» в разделе SCIM. Новый токен показывается один раз; предыдущий токен немедленно перестаёт работать, поэтому сразу же обновите его в коннекторе SCIM вашего IdP, чтобы избежать прерывания синхронизации.

Устранение неполадок

СимптомВероятная причина и решение
Тест подключения завершается с ошибкой 401 / unauthorized Bearer-токен неверен или был ротирован. Скопируйте текущий токен из раздела SCIM (ротируйте при необходимости) и введите его заново. В Okta убедитесь, что вы не добавили префикс Bearer.
Пользователи не создаются Убедитесь, что провижининг включён и пользователи назначены приложению в вашем IdP, а их email находится в подтверждённом домене.
Ошибка типа «User must exist on a verified domain» Email/userName пользователя находится в домене, не подтверждённом для этой организации. Добавьте и подтвердите домен или ограничьте область провижининга подтверждёнными доменами.
Удалённые пользователи всё ещё имеют доступ Деприовижининг происходит, когда IdP отправляет active=false. Убедитесь, что Deactivate Users (или эквивалент вашего IdP) включён и пользователь был снят с назначения, а не просто скрыт.

Получение помощи

Если SCIM-провижининг работает не так, как ожидалось, обратитесь в поддержку CalendarBridge, указав домен вашей организации, вашего поставщика идентификации и описание того, что было назначено по сравнению с тем, что синхронизировалось.