Настройка синхронизации каталогов SCIM (провижининг)

Как только единый вход активен, CalendarBridge может автоматически создавать, обновлять и деактивировать учётные записи пользователей из вашего поставщика идентификации с помощью SCIM 2.0. Это означает, что пользователи провижинятся в тот момент, когда они назначены в вашем каталоге, и деприовижинятся в тот момент, когда они уходят — без ручного управления лицензиями.

C Chad Обновлено 16 июня 2026 г. 6 мин чтения

Что делает SCIM-провижининг

SCIM (System for Cross-domain Identity Management) — это открытый стандарт, который поставщики идентификации используют для передачи изменений жизненного цикла пользователей в приложения. Когда SCIM включён, ваш IdP отправляет CalendarBridge запрос всякий раз, когда пользователь назначается, обновляется или удаляется, и CalendarBridge автоматически поддерживает свой список пользователей в актуальном состоянии.

Стандарт: SCIM 2.0.
Предварительное условие: активная конфигурация SSO для того же подтверждённого домена. Сначала см. Настройка единого входа — раздел SCIM появляется под каждой активной конфигурацией SSO.
Кто может это настраивать: только администратор организации CalendarBridge.
Операции: создание пользователя, обновление атрибутов пользователя и деактивация (деприовижининг) пользователя.

Ваш эндпоинт SCIM и токен

Когда SCIM включён для домена, на вкладке «Единый вход» отображаются два значения, необходимые вашему поставщику идентификации:

Значение	Описание
Эндпоинт SCIM (Base URL / Tenant URL)	Базовый URL, на который ваш IdP отправляет запросы SCIM. Скопируйте его со вкладки SSO кнопкой «Копировать».
Bearer-токен (API token / Secret token)	Токен аутентификации, который ваш IdP предъявляет при каждом запросе. Он показывается только один раз при генерации или ротации — скопируйте его сразу и сохраните в своём IdP.

warning

Токен показывается только один раз В целях безопасности CalendarBridge отображает bearer-токен единожды. Если вы его потеряете, используйте «Rotate token» в разделе SCIM, чтобы сгенерировать новый — затем обновите токен в своём IdP, потому что старый токен немедленно перестаёт работать.

Аутентификация

CalendarBridge аутентифицирует запросы SCIM с помощью bearer-токена OAuth 2.0, предъявляемого в HTTP-заголовке Authorization. Введите токен в коннекторе SCIM вашего IdP в точности как показано (в Okta не включайте слово «Bearer» — Okta добавляет его сама). Вы можете ротировать токен в любой момент из раздела SCIM без перенастройки SSO.

Поддерживаемые ресурсы и атрибуты

CalendarBridge реализует ресурс Users SCIM 2.0. Атрибуты, которые читает CalendarBridge, перечислены ниже; дополнительные атрибуты, отправляемые вашим IdP, принимаются и игнорируются.

Атрибут SCIM	Сопоставляется в CalendarBridge с	Примечания
`userName`	Уникальный логин пользователя (email)	Обязательный. Должен быть в подтверждённом домене организации.
`emails[primary]` / `emails[work]`	Адрес электронной почты	Используется для сопоставления пользователя с вашим доменом и SSO.
`name.givenName`	Имя	Заполняет отображаемое имя.
`name.familyName`	Фамилия	Необязательный.
`active`	Учётная запись включена / отключена	Установка `active=false` деприовижинит (деактивирует) пользователя CalendarBridge.

info

Деприовижининг Когда пользователь снимается с назначения в вашем IdP, IdP отправляет обновление с установкой active=false (мягкое удаление), которое деактивирует пользователя в CalendarBridge и освобождает его лицензию. Повторное назначение пользователя реактивирует его.

Включение SCIM в вашем поставщике идентификации

Откройте вкладку «Единый вход», найдите активную конфигурацию для вашего домена и прокрутите до раздела SCIM. Выберите своего поставщика идентификации из встроенного руководства для точных путей меню, затем следуйте шагам для вашего IdP ниже. В каждом случае вы будете вставлять эндпоинт SCIM и bearer-токен из портала.

Microsoft Entra ID (Azure AD)

Откройте раздел Provisioning приложения

В центре администрирования Microsoft Entra перейдите в Enterprise applications, откройте ваше приложение CalendarBridge и выберите Provisioning.
Установите Provisioning Mode на Automatic

Затем введите учётные данные: Tenant URL = эндпоинт SCIM из портала; Secret Token = bearer-токен из портала.
Test Connection, затем Save

Нажмите Test Connection, чтобы подтвердить, что Entra ID может достичь эндпоинта и аутентифицироваться, затем Save. Оставьте сопоставления атрибутов пользователя по умолчанию.
Включите провижининг и назначьте пользователей

Установите Provisioning Status на On и сохраните. В разделе Users and groups назначьте пользователей или группы для синхронизации. Entra ID провижинит их в следующем цикле.

Okta

Откройте вкладку Provisioning

В Okta Admin откройте ваше приложение CalendarBridge, перейдите на вкладку Provisioning и нажмите Configure API Integration → Enable API integration.
Введите учётные данные SCIM

Base URL = эндпоинт SCIM из портала; API token = bearer-токен из портала (без префикса Bearer). Нажмите Test API Credentials, затем Save.
Включите действия провижининга

В разделе Provisioning → To App включите Create Users, Update User Attributes и Deactivate Users.
Назначьте пользователей или группы

Назначьте пользователей или группы приложению; Okta немедленно передаёт их в CalendarBridge.

Google Workspace

Откройте Auto-provisioning

В консоли Google Admin перейдите в Apps → Web and mobile apps, откройте ваше приложение SAML CalendarBridge и нажмите Auto-provisioning.
Введите учётные данные SCIM

Base URL = эндпоинт SCIM из портала; API token = bearer-токен из портала. Нажмите Test connection.
Сопоставьте атрибуты

Сопоставьте Primary email → userName, First name → name.givenName, Last name → name.familyName.
Задайте область и включите

Выберите пользователей, OU или группы для провижининга, затем переключите Auto-provisioning ON.

info

Требование к изданию Google Workspace Авто-провижининг доступен только в Google Workspace Enterprise Standard, Enterprise Plus или Education Plus. Он недоступен в тарифах Business Starter/Standard/Plus.

JumpCloud

Откройте Identity Management

В JumpCloud Admin откройте ваше приложение SAML CalendarBridge и перейдите на вкладку Identity Management.
Включите SCIM и введите учётные данные

Base URL = эндпоинт SCIM из портала; Token = bearer-токен из портала. Нажмите Test и Save.
Назначьте пользователей или группы

Назначьте пользователей или группы пользователей приложению; JumpCloud синхронизирует их с CalendarBridge.

Ротация токена SCIM

Если токен раскрыт, утерян или вы просто хотите ротировать его по расписанию, нажмите «Rotate token» в разделе SCIM. Новый токен показывается один раз; предыдущий токен немедленно перестаёт работать, поэтому сразу же обновите его в коннекторе SCIM вашего IdP, чтобы избежать прерывания синхронизации.

Устранение неполадок

Симптом	Вероятная причина и решение
Тест подключения завершается с ошибкой 401 / unauthorized	Bearer-токен неверен или был ротирован. Скопируйте текущий токен из раздела SCIM (ротируйте при необходимости) и введите его заново. В Okta убедитесь, что вы не добавили префикс `Bearer`.
Пользователи не создаются	Убедитесь, что провижининг включён и пользователи назначены приложению в вашем IdP, а их email находится в подтверждённом домене.
Ошибка типа «User must exist on a verified domain»	Email/`userName` пользователя находится в домене, не подтверждённом для этой организации. Добавьте и подтвердите домен или ограничьте область провижининга подтверждёнными доменами.
Удалённые пользователи всё ещё имеют доступ	Деприовижининг происходит, когда IdP отправляет `active=false`. Убедитесь, что Deactivate Users (или эквивалент вашего IdP) включён и пользователь был снят с назначения, а не просто скрыт.

Получение помощи

Если SCIM-провижининг работает не так, как ожидалось, обратитесь в поддержку CalendarBridge, указав домен вашей организации, вашего поставщика идентификации и описание того, что было назначено по сравнению с тем, что синхронизировалось.