設定 SCIM 目錄同步(佈建)
單一登入啟用後,CalendarBridge 可使用 SCIM 2.0 自動從您的身分提供者建立、更新與停用使用者帳戶。這表示使用者在您目錄中被指派的那一刻即會被佈建,而在他們離開的那一刻即被取消佈建——無需手動管理授權。
SCIM 佈建的作用
SCIM(System for Cross-domain Identity Management,跨網域身分管理系統)是身分提供者用來將使用者生命週期變更推送至應用程式的開放標準。啟用 SCIM 後,每當使用者被指派、更新或移除時,您的 IdP 就會傳送請求給 CalendarBridge,而 CalendarBridge 會自動使其使用者清單保持同步。
- 標準:SCIM 2.0。
- 先決條件:同一個已驗證網域須有一個使用中的 SSO 設定。請先參閱設定單一登入——SCIM 區塊會出現在每個使用中的 SSO 設定底下。
- 誰可以設定:只有 CalendarBridge 組織管理員。
- 操作:建立使用者、更新使用者屬性,以及停用(取消佈建)使用者。
您的 SCIM 端點與權杖
當某個網域啟用 SCIM 時,單一登入分頁會顯示您身分提供者所需的兩個值:
| 值 | 描述 |
|---|---|
| SCIM 端點(Base URL / Tenant URL) | 您 IdP 傳送 SCIM 請求的目標基底 URL。請用複製按鈕從 SSO 分頁複製。 |
| 持有人權杖(API 權杖 / 密鑰權杖) | 您 IdP 在每次請求時所出示的驗證權杖。它在產生或輪替時只會顯示一次——請立即複製並存放到您的 IdP。 |
驗證
CalendarBridge 以在 HTTP Authorization 標頭中出示的 OAuth 2.0 持有人權杖來驗證 SCIM 請求。請完全按所示在您 IdP 的 SCIM 連接器中輸入權杖(在 Okta 中,請勿包含「Bearer」一詞——Okta 會自行加上)。您可以隨時從 SCIM 區塊輪替權杖,而無需重新設定 SSO。
支援的資源與屬性
CalendarBridge 實作 SCIM 2.0 Users 資源。CalendarBridge 讀取的屬性列於下方;您 IdP 所傳送的其他屬性會被接受並忽略。
| SCIM 屬性 | 在 CalendarBridge 中對應到 | 備註 |
|---|---|---|
userName | 使用者的唯一登入(電子郵件) | 必填。必須位於該組織的已驗證網域上。 |
emails[primary] / emails[work] | 電子郵件地址 | 用於將使用者配對到您的網域與 SSO。 |
name.givenName | 名字 | 填入顯示名稱。 |
name.familyName | 姓氏 | 選填。 |
active | 帳戶啟用/停用 | 將 active=false 會取消佈建(停用)該 CalendarBridge 使用者。 |
active=false 的更新(軟刪除),這會停用該 CalendarBridge 使用者並釋放其授權。重新指派該使用者會重新啟用他們。在您的身分提供者中啟用 SCIM
開啟單一登入分頁,找到您網域的使用中設定,然後捲動到 SCIM 區塊。從內建指南中選擇您的身分提供者以取得精確的選單路徑,然後依下方您 IdP 的步驟操作。無論何種情況,您都會貼上入口網站中的 SCIM 端點與持有人權杖。
Microsoft Entra ID(Azure AD)
-
開啟應用程式的佈建刀鋒
在 Microsoft Entra 管理中心中,前往企業應用程式,開啟您的 CalendarBridge 應用程式,然後選擇佈建。
-
將佈建模式設為自動
然後輸入認證:Tenant URL = 入口網站的 SCIM 端點;Secret Token = 入口網站的持有人權杖。
-
測試連線,然後儲存
點選測試連線以確認 Entra ID 可以連到端點並通過驗證,然後儲存。保留預設的使用者屬性對應。
-
開啟佈建並指派使用者
將佈建狀態設為開啟並儲存。在使用者和群組底下,指派要同步的使用者或群組。Entra ID 會在其下一個週期佈建他們。
Okta
-
開啟佈建分頁
在 Okta 管理中,開啟您的 CalendarBridge 應用程式,前往佈建分頁,並點選設定 API 整合 → 啟用 API 整合。
-
輸入 SCIM 認證
Base URL = 入口網站的 SCIM 端點;API token = 入口網站的持有人權杖(不含
Bearer前置字元)。點選測試 API 認證,然後儲存。 -
啟用佈建動作
在佈建 → 至應用程式底下,啟用建立使用者、更新使用者屬性與停用使用者。
-
指派使用者或群組
將使用者或群組指派給該應用程式;Okta 會立即將他們推送至 CalendarBridge。
Google Workspace
-
開啟自動佈建
在 Google 管理控制台中,前往應用程式 → 網頁和行動應用程式,開啟您的 CalendarBridge SAML 應用程式,並點選自動佈建。
-
輸入 SCIM 認證
Base URL = 入口網站的 SCIM 端點;API token = 入口網站的持有人權杖。點選測試連線。
-
對應屬性
對應主要電子郵件 → userName、名字 → name.givenName、姓氏 → name.familyName。
-
設定範圍並開啟
選擇要佈建的使用者、OU 或群組,然後切換自動佈建為開啟。
JumpCloud
-
開啟身分管理
在 JumpCloud 管理中,開啟您的 CalendarBridge SAML 應用程式,並前往身分管理分頁。
-
啟用 SCIM 並輸入認證
Base URL = 入口網站的 SCIM 端點;Token = 入口網站的持有人權杖。點選測試並儲存。
-
指派使用者或群組
將使用者或使用者群組指派給該應用程式;JumpCloud 會將他們同步至 CalendarBridge。
輪替 SCIM 權杖
若權杖遭洩漏、遺失,或您只是想定期輪替,請在 SCIM 區塊點選輪替權杖。新權杖只會顯示一次;先前的權杖會立即停止運作,因此請立即在您 IdP 的 SCIM 連接器中更新它,以避免同步中斷。
疑難排解
| 症狀 | 可能原因與解決方法 |
|---|---|
| 測試連線因 401/未授權而失敗 | 持有人權杖有誤或已被輪替。請從 SCIM 區塊複製目前的權杖(必要時輪替)並重新輸入。在 Okta 中,請確保您未加上 Bearer 前置字元。 |
| 使用者未被建立 | 確認佈建已開啟、使用者已在您 IdP 中被指派給該應用程式,且其電子郵件位於已驗證網域上。 |
| 「使用者必須存在於已驗證網域」這類錯誤 | 該使用者的 userName/電子郵件位於一個未為此組織驗證的網域上。請新增並驗證該網域,或將佈建範圍限制在已驗證網域。 |
| 已移除的使用者仍有存取權 | 取消佈建發生於 IdP 傳送 active=false 時。請確保停用使用者(或您 IdP 的對應項目)已啟用,且該使用者是被取消指派,而非只是被隱藏。 |
取得協助
若 SCIM 佈建未如預期運作,請聯絡 CalendarBridge 支援,並附上貴組織的網域、您的身分提供者,以及被指派的內容與實際同步內容的說明。