Налаштування синхронізації каталогу SCIM (надання доступу)

Щойно єдиний вхід стане активним, CalendarBridge зможе автоматично створювати, оновлювати та деактивувати облікові записи користувачів від вашого постачальника ідентичності за допомогою SCIM 2.0. Це означає, що доступ користувачам надається тієї ж миті, коли їх призначено у вашому каталозі, та скасовується тієї ж миті, коли вони йдуть — без ручного керування ліцензіями.

C Chad Оновлено 16 червня 2026 р. 6 хв читання

Що робить надання доступу SCIM

SCIM (System for Cross-domain Identity Management) — це відкритий стандарт, який постачальники ідентичності використовують для передавання змін життєвого циклу користувачів у застосунки. З увімкненим SCIM ваш IdP надсилає CalendarBridge запит щоразу, коли користувача призначено, оновлено чи видалено, а CalendarBridge автоматично підтримує свій список користувачів синхронізованим.

Стандарт: SCIM 2.0.
Передумова: активна конфігурація SSO для того самого підтвердженого домену. Спершу див. Налаштування єдиного входу — розділ SCIM з'являється під кожною активною конфігурацією SSO.
Хто може це налаштувати: лише адміністратор організації CalendarBridge.
Операції: створення користувача, оновлення атрибутів користувача та деактивація (скасування доступу) користувача.

Ваша кінцева точка та токен SCIM

Коли SCIM увімкнено для домену, вкладка «Єдиний вхід» показує два значення, потрібні вашому постачальнику ідентичності:

Значення	Опис
Кінцева точка SCIM (Base URL / Tenant URL)	Базова URL-адреса, на яку ваш IdP надсилає запити SCIM. Скопіюйте її з вкладки SSO кнопкою Копіювати.
Bearer-токен (API token / Secret token)	Токен автентифікації, який ваш IdP надає в кожному запиті. Він показується лише один раз під час генерування чи ротації — скопіюйте його одразу та збережіть у своєму IdP.

warning

Токен показується лише один раз З міркувань безпеки CalendarBridge відображає bearer-токен один-єдиний раз. Якщо ви його втратите, скористайтеся Ротувати токен у розділі SCIM, щоб згенерувати новий — потім оновіть токен у своєму IdP, оскільки старий токен перестає працювати негайно.

Автентифікація

CalendarBridge автентифікує запити SCIM за допомогою bearer-токена OAuth 2.0, що передається в HTTP-заголовку Authorization. Введіть токен у конектор SCIM вашого IdP точно так, як показано (в Okta не додавайте слово «Bearer» — Okta додає його). Ви можете ротувати токен будь-коли з розділу SCIM без повторного налаштування SSO.

Підтримувані ресурси та атрибути

CalendarBridge реалізує ресурс Users SCIM 2.0. Атрибути, які CalendarBridge читає, наведено нижче; додаткові атрибути, надіслані вашим IdP, приймаються та ігноруються.

Атрибут SCIM	Зіставляється в CalendarBridge з	Примітки
`userName`	Унікальний логін користувача (електронна пошта)	Обов'язковий. Має бути в підтвердженому домені організації.
`emails[primary]` / `emails[work]`	Адреса електронної пошти	Використовується для зіставлення користувача з вашим доменом та SSO.
`name.givenName`	Ім'я	Заповнює відображуване ім'я.
`name.familyName`	Прізвище	Необов'язковий.
`active`	Обліковий запис увімкнено / вимкнено	Встановлення `active=false` скасовує доступ (деактивує) користувача CalendarBridge.

info

Скасування доступу Коли користувача знято з призначення у вашому IdP, IdP надсилає оновлення зі встановленням active=false (м'яке видалення), яке деактивує користувача в CalendarBridge та звільняє його ліцензію. Повторне призначення користувача знову активує його.

Увімкнення SCIM у вашому постачальнику ідентичності

Відкрийте вкладку «Єдиний вхід», знайдіть активну конфігурацію для свого домену та прокрутіть до розділу SCIM. Виберіть свого постачальника ідентичності з вбудованого посібника, щоб отримати точні шляхи меню, потім виконайте наведені нижче кроки для свого IdP. У кожному випадку ви вставлятимете кінцеву точку SCIM та bearer-токен з порталу.

Microsoft Entra ID (Azure AD)

Відкрийте панель Provisioning застосунку

У центрі адміністрування Microsoft Entra перейдіть до Enterprise applications, відкрийте свій застосунок CalendarBridge та виберіть Provisioning.
Встановіть Provisioning Mode на Automatic

Потім введіть облікові дані: Tenant URL = кінцева точка SCIM з порталу; Secret Token = bearer-токен з порталу.
Test Connection, потім Save

Натисніть Test Connection, щоб переконатися, що Entra ID може досягти кінцевої точки та автентифікуватися, потім Save. Залиште типові зіставлення атрибутів користувача.
Увімкніть надання доступу та призначте користувачів

Встановіть Provisioning Status на On і збережіть. У розділі Users and groups призначте користувачів або групи для синхронізації. Entra ID надасть їм доступ під час наступного циклу.

Okta

Відкрийте вкладку Provisioning

В Okta Admin відкрийте свій застосунок CalendarBridge, перейдіть на вкладку Provisioning і натисніть Configure API Integration → Enable API integration.
Введіть облікові дані SCIM

Base URL = кінцева точка SCIM з порталу; API token = bearer-токен з порталу (без префікса Bearer). Натисніть Test API Credentials, потім Save.
Увімкніть дії надання доступу

У розділі Provisioning → To App увімкніть Create Users, Update User Attributes та Deactivate Users.
Призначте користувачів або групи

Призначте користувачів або групи застосунку; Okta негайно передає їх у CalendarBridge.

Google Workspace

Відкрийте Auto-provisioning

У консолі Google Admin перейдіть до Apps → Web and mobile apps, відкрийте свій застосунок CalendarBridge SAML і натисніть Auto-provisioning.
Введіть облікові дані SCIM

Base URL = кінцева точка SCIM з порталу; API token = bearer-токен з порталу. Натисніть Test connection.
Зіставте атрибути

Зіставте Primary email → userName, First name → name.givenName, Last name → name.familyName.
Встановіть область та ввімкніть

Виберіть користувачів, OU або групи для надання доступу, потім перемкніть Auto-provisioning ON.

info

Вимога до видання Google Workspace Автоматичне надання доступу доступне лише в Google Workspace Enterprise Standard, Enterprise Plus або Education Plus. Воно недоступне в тарифах Business Starter/Standard/Plus.

JumpCloud

Відкрийте Identity Management

У JumpCloud Admin відкрийте свій застосунок CalendarBridge SAML і перейдіть на вкладку Identity Management.
Увімкніть SCIM та введіть облікові дані

Base URL = кінцева точка SCIM з порталу; Token = bearer-токен з порталу. Натисніть Test і Save.
Призначте користувачів або групи

Призначте користувачів або групи користувачів застосунку; JumpCloud синхронізує їх із CalendarBridge.

Ротація токена SCIM

Якщо токен викрито, втрачено або ви просто хочете ротувати його за розкладом, натисніть Ротувати токен у розділі SCIM. Новий токен показується один раз; попередній токен перестає працювати негайно, тож одразу оновіть його в конекторі SCIM вашого IdP, щоб уникнути переривання синхронізації.

Усунення несправностей

Симптом	Імовірна причина та виправлення
Test connection не вдається з 401 / unauthorized	Bearer-токен неправильний або був ротований. Скопіюйте поточний токен з розділу SCIM (ротуйте за потреби) і введіть його повторно. В Okta переконайтеся, що ви не додали префікс `Bearer`.
Користувачі не створюються	Переконайтеся, що надання доступу ввімкнено, користувачів призначено застосунку у вашому IdP і що їхня електронна пошта в підтвердженому домені.
Помилка типу «User must exist on a verified domain»	`userName`/електронна пошта користувача в домені, який не підтверджено для цієї організації. Додайте та підтвердьте домен або обмежте область надання доступу підтвердженими доменами.
Видалені користувачі все ще мають доступ	Скасування доступу відбувається, коли IdP надсилає `active=false`. Переконайтеся, що Deactivate Users (або еквівалент вашого IdP) увімкнено, а користувача знято з призначення, а не просто приховано.

Отримання допомоги

Якщо надання доступу SCIM поводиться не так, як очікувалося, зверніться до служби підтримки CalendarBridge, зазначивши домен вашої організації, вашого постачальника ідентичності та опис того, що було призначено та що синхронізувалося.