Die SCIM-Bereitstellung hält die Mitgliedschaft und Gruppen Ihrer Enterprise-Organisation mit Ihrem Identitätsanbieter synchron. Dieser Artikel behandelt, was synchronisiert wird, wie Synchronisierungen ausgelöst werden, wie Sie eine Synchronisierung vor der Anwendung in der Vorschau anzeigen können, und worauf Sie beim erneuten Synchronisieren achten sollten.
Verfügbar im Enterprise-Plan. Anweisungen zur Einrichtung finden Sie unter JIT- oder SCIM-Bereitstellung einrichten.
Was wird synchronisiert
Wenn Sie Ihren Identitätsanbieter (IdP) über die WorkOS-Integration mit Ihrer Enterprise-Organisation verbinden, werden zwei Dinge von Ihrem IdP synchronisiert:
Mitglieder aus Ihrem SCIM-Verzeichnis
SCIM-Gruppen, die Sie von Ihrem IdP zu WorkOS übertragen haben
Die Gruppenmitgliedschaft in Ihrer Organisation bestimmt, welche Funktionen Mitglieder mit benutzerdefinierten Rollen nutzen können, sowie die Ausgabenlimits für Gruppen.
Automatische Synchronisierung
Ihre Enterprise-Organisation erhält Änderungen von Ihrem IdP automatisch, wenn Ihr IdP Mitglieds- oder Gruppenaktualisierungen (Hinzufügungen, Entfernungen oder Bearbeitungen) an WorkOS überträgt.
Im Hintergrund fragt Ihre Organisation WorkOS jede Minute nach Aktualisierungsereignissen ab und verarbeitet diese in einer Warteschlange. Diese Methode ist letztendlich konsistent – Synchronisierungen werden normalerweise innerhalb von Minuten abgeschlossen, können aber bei hohem Systemverkehr mehrere Stunden dauern.
Manuelle Synchronisierung
Einige Aktionen lösen sofort eine manuelle Synchronisierung aus, und Sie können auch eine bei Bedarf ausführen.
Aktionen, die eine manuelle Synchronisierung auslösen
Ändern des Bereitstellungsmodus zu SCIM. Alle Mitglieder, die sich nicht in Ihrem IdP-Verzeichnis befinden, werden entfernt, und alle Mitglieder in Ihrem IdP-Verzeichnis werden hinzugefügt. Sie müssen auf diese erste erneute Synchronisierung warten, bevor Sie Gruppenzuordnungen konfigurieren.
Aktivieren von Gruppenzuordnungen. Die vollständige Liste der Mitglieder und Gruppen wird aktualisiert. Die Rollen und Seat-Tiers neuer und bestehender Mitglieder werden durch die Gruppenzuordnung erzwungen und können nicht manuell überschrieben werden. Klicken Sie nach dem Speichern einer neuen Zuordnung auf „Synchronisieren"."
Jetzt synchronisieren, um Rollen und Seat-Tiers für bestehende Mitglieder neu zu berechnen.
Verwenden Sie die Schaltfläche „Nach Updates suchen
Verwenden Sie die Schaltfläche „Synchronisieren
Hinweis: Wenn Sie die Seat-Bereitstellung oder Seat-Rollen über Gruppenzuordnungen aktualisieren, werden bestehende Mitglieder nicht automatisch erneut synchronisiert. Lösen Sie eine manuelle Synchronisierung aus, um die Änderungen anzuwenden.
Wenn Sie Gruppenzuordnungen deaktivieren, erhalten Sie die Möglichkeit zurück, Mitgliedsrollen und Seat-Tiers manuell zuzuweisen. Bestehende Mitglieder behalten ihre aktuellen Rollen. Neue Mitglieder erhalten die Rolle „Benutzer" – ändern Sie ihre Rolle zu „Benutzerdefiniert", wenn Sie benutzerdefinierte Rollenberechtigung aktivieren möchten.
So lösen Sie eine manuelle Synchronisierung aus
Sie können eine manuelle Synchronisierung von zwei Stellen in Ihren Admin-Einstellungen aus auslösen.
Von der Seite „Gruppen""
Gehen Sie zu Organisationseinstellungen > Gruppen.
Klicken Sie unter SCIM-Synchronisierung auf „Nach Updates suchen":"
Wählen Sie aus, ob Sie Mitglieder, Gruppen oder beides synchronisieren möchten.
Von der Seite „SCIM verwalten""
Gehen Sie zu Organisationseinstellungen > Organisation und Zugriff und scrollen Sie zum Bereich Benutzerbereitstellung.
Klicken Sie auf „Synchronisieren"."
Wählen Sie aus, ob Sie Mitglieder, Gruppen oder beides synchronisieren möchten:
Hinweis: Wenn Sie eine manuelle Synchronisierung auslösen, während Hintergrundänderungen verarbeitet werden, nimmt Ihre Organisation die neueste Änderung für jedes Mitglied oder jede Gruppe vor. Wenn mehrere Änderungen für dasselbe Mitglied oder dieselbe Gruppe in der Warteschlange stehen, müssen Sie möglicherweise erneut synchronisieren, um sicherzustellen, dass alles korrekt angewendet wird.
Zeigen Sie eine Synchronisierung in der Vorschau an, bevor sie angewendet wird
Wenn Sie eine manuelle erneute Synchronisierung ausführen, zeigt die Admin-Konsole eine Vorschau, was die Synchronisierung tun wird, bevor etwas angewendet wird. Die Vorschau wird automatisch im Synchronisierungsablauf angezeigt und zeigt, wie viele Mitglieder die Synchronisierung hinzufügt, entfernt oder ändert, sowie wie aktuell die Verzeichnisdaten sind.
Überprüfen Sie die Vorschau, bevor Sie bestätigen. Wenn die Zahlen nicht dem entsprechen, was Sie erwarten (z. B. viel mehr Entfernungen als Personen, die tatsächlich gegangen sind), brechen Sie die Synchronisierung ab und überprüfen Sie Ihr IdP-Verzeichnis und Ihre Gruppenzuordnungen, bevor Sie fortfahren.
Wenn eine Synchronisierung einen ungewöhnlich großen Anteil Ihrer Mitglieder entfernen würde, zeigt die Vorschau eine Warnung an. Dies hilft Ihnen, eine falsch konfigurierte Zuordnung zu erkennen, bevor sie Personen entfernt, die Zugriff behalten sollten. Wenn Sie diese Warnung sehen, stoppen Sie und bestätigen Sie, dass die Änderung beabsichtigt ist, bevor Sie fortfahren.
Mitgliedersynchronisierung vs. Gruppensynchronisierung
Wenn Sie eine manuelle Synchronisierung auslösen, können Sie wählen, ob Sie Mitglieder, Gruppen oder beides synchronisieren möchten. Hier ist, was jede tut:
Mitgliedersynchronisierung aktualisiert den Datensatz Ihrer Organisation darüber, welche Mitglieder Seats, Seat-Tiers und Seat-Rollen (Benutzerdefiniert, Benutzer, Admin, Besitzer) zugeordnet sind. Dies kann sich auf den Login-Zugriff von Mitgliedern auf Claude auswirken.
Gruppensynchronisierung aktualisiert den Datensatz Ihrer Organisation darüber, welche SCIM-Gruppen vorhanden sind und wer zu ihnen gehört. Die Gruppenmitgliedschaft bestimmt, welche Funktionen Mitglieder mit benutzerdefinierten Rollen nutzen können, sowie die Ausgabenlimits für Gruppen.
Wie lange manuelle Synchronisierungen dauern
Manuelle Synchronisierungen durchsuchen WorkOS erneut nach der vollständigen Liste der Mitglieder und Gruppen, um eine aktuelle Baseline zu erstellen. Rechnen Sie mit etwa einer Minute pro 100 Mitglieder in Ihrer Organisation – eine Organisation mit 1.000 Mitgliedern dauert also etwa 10 Minuten für eine vollständige erneute Synchronisierung.
Überprüfung Ihres Synchronisierungsstatus
Um zu überprüfen, ob die Mitgliedschaft und Gruppen Ihrer Organisation aktuell sind, haben Sie zwei Optionen:
Exportieren Sie Ihre Mitgliederliste. Gehen Sie zu Organisationseinstellungen > Mitglieder und klicken Sie auf „CSV exportieren
Zeigen Sie den Datensatz der WorkOS-Integration an. Gehen Sie zu Organisationseinstellungen > Organisation und Zugriff und klicken Sie auf „SCIM verwalten
Risiken, auf die Sie beim erneuten Synchronisieren achten sollten
Bevor Sie eine manuelle erneute Synchronisierung auslösen, beachten Sie Folgendes:
Das Ändern des Bereitstellungsmodus zu SCIM entfernt Mitglieder, die sich nicht in Ihrem IdP-Verzeichnis befinden. Bestätigen Sie, dass sich alle bestehenden Mitglieder in Ihrem IdP-Verzeichnis befinden, bevor Sie den Bereitstellungsmodus ändern.
Das Aktualisieren der E-Mail eines Mitglieds erstellt einen neuen Mitgliedsdatensatz. Das Mitglied mit der alten E-Mail wird entfernt, und ein neues Mitglied mit der neuen E-Mail wird erstellt.
Das erneute Synchronisieren wird auf untergeordnete Organisationen übertragen. Wenn Sie mehrere Organisationen mit SCIM-Bereitstellung unter derselben übergeordneten Organisation haben, löst das erneute Synchronisieren einer Organisation das erneute Synchronisieren in den anderen aus. Dies umfasst Sandbox-Organisationen, die dieselbe übergeordnete Organisation gemeinsam nutzen.
Unvollständige Gruppenzuordnungen entfernen Mitglieder aus der Organisation. Wenn Sie die Gruppenzuordnung für SCIM aktivieren, beenden Sie die Zuweisung aller Gruppen, bevor Sie speichern. Alle Mitglieder, die nicht in einer Rollengruppenabbildung enthalten sind, werden aus der Organisation entfernt. Wenn Sie die Seat-Tier-Zuordnung aktivieren, werden auch alle Mitglieder, die sich nicht in einer Seat-Tier-Gruppenzuordnung befinden, entfernt.