SCIM-Bereitstellung hält die Mitgliedschaft und Gruppen Ihrer Enterprise-Organisation mit Ihrem Identitätsanbieter synchron. Dieser Artikel behandelt, was synchronisiert wird, wie Synchronisierungen ausgelöst werden und worauf Sie beim erneuten Synchronisieren achten sollten.
Verfügbar im Enterprise-Plan. Anweisungen zur Einrichtung finden Sie unter JIT- oder SCIM-Bereitstellung einrichten.
Was wird synchronisiert
Wenn Sie Ihren Identitätsanbieter (IdP) über die WorkOS-Integration mit Ihrer Enterprise-Organisation verbinden, werden zwei Dinge von Ihrem IdP synchronisiert:
Mitglieder aus Ihrem SCIM-Verzeichnis
SCIM-Gruppen, die Sie von Ihrem IdP zu WorkOS übertragen haben
Die Gruppenmitgliedschaft in Ihrer Organisation bestimmt, auf welche Funktionen Mitglieder mit benutzerdefinierten Rollen zugreifen können, sowie Ausgabenlimits für Gruppen.
Automatische Synchronisierung
Ihre Enterprise-Organisation erhält Änderungen von Ihrem IdP automatisch, wenn Ihr IdP Mitglieds- oder Gruppenaktualisierungen (Hinzufügungen, Entfernungen oder Bearbeitungen) an WorkOS überträgt.
Im Hintergrund fragt Ihre Organisation WorkOS jede Minute nach Aktualisierungsereignissen ab und verarbeitet diese in einer Warteschlange. Diese Methode ist letztendlich konsistent – Synchronisierungen werden normalerweise innerhalb von Minuten abgeschlossen, können aber bei hohem Systemverkehr mehrere Stunden dauern.
Manuelle Synchronisierung
Einige Aktionen lösen sofort eine manuelle Synchronisierung aus, und Sie können auch eine bei Bedarf ausführen.
Aktionen, die eine manuelle Synchronisierung auslösen
Ändern des Bereitstellungsmodus zu SCIM. Alle Mitglieder, die nicht in Ihrem IdP-Verzeichnis vorhanden sind, werden entfernt, und alle Mitglieder in Ihrem IdP-Verzeichnis werden hinzugefügt. Sie müssen auf diese erste Neusynchronisierung warten, bevor Sie Gruppenzuordnungen konfigurieren.
Aktivieren von Gruppenzuordnungen. Die vollständige Liste der Mitglieder und Gruppen wird aktualisiert. Die Rollen und Seat-Tiers neuer und bestehender Mitglieder werden durch die Gruppenzuordnung erzwungen und können nicht manuell überschrieben werden. Klicken Sie nach dem Speichern einer neuen Zuordnung auf „Synchronisieren
Jetzt synchronisieren, um Rollen und Seat-Tiers für bestehende Mitglieder neu zu berechnen.
Verwenden Sie die Schaltfläche „Nach Updates suchen
Verwenden Sie die Schaltfläche „Synchronisieren
Hinweis: Wenn Sie die Seat-Bereitstellung oder Seat-Rollen durch Gruppenzuordnungen aktualisieren, werden bestehende Mitglieder nicht automatisch neu synchronisiert. Lösen Sie eine manuelle Synchronisierung aus, um die Änderungen anzuwenden.
Wenn Sie Gruppenzuordnungen deaktivieren, erhalten Sie die Möglichkeit zurück, Mitgliedsrollen und Seat-Tiers manuell zuzuweisen. Bestehende Mitglieder behalten ihre aktuellen Rollen. Neue Mitglieder erhalten die Rolle „Benutzer" – ändern Sie ihre Rolle in „Benutzerdefinierte Rollen", wenn Sie benutzerdefinierte Rollenberechtigung aktivieren möchten.
So lösen Sie eine Synchronisierung manuell aus
Sie können eine manuelle Synchronisierung von zwei Stellen in Ihren Admin-Einstellungen auslösen.
Von der Seite „Gruppen""
Gehen Sie zu Organisationseinstellungen > Gruppen.
Klicken Sie unter SCIM-Synchronisierung auf „Nach Updates suchen"."
Wählen Sie aus, ob Mitglieder, Gruppen oder beides synchronisiert werden sollen.
Von der Seite „SCIM verwalten""
Gehen Sie zu Organisationseinstellungen > Organisation und Zugriff und scrollen Sie zum Abschnitt Benutzerbereitstellung.
Klicken Sie auf „Synchronisieren"."
Wählen Sie aus, ob Mitglieder, Gruppen oder beides synchronisiert werden sollen.
Hinweis: Wenn Sie eine manuelle Synchronisierung auslösen, während Hintergrundänderungen verarbeitet werden, nimmt Ihre Organisation die neueste Änderung für jedes Mitglied oder jede Gruppe vor. Wenn mehrere Änderungen für dasselbe Mitglied oder dieselbe Gruppe in der Warteschlange stehen, müssen Sie möglicherweise erneut synchronisieren, um sicherzustellen, dass alles korrekt angewendet wird.
Mitgliedersynchronisierung vs. Gruppensynchronisierung
Wenn Sie eine manuelle Synchronisierung auslösen, können Sie wählen, ob Mitglieder, Gruppen oder beides synchronisiert werden. Hier ist, was jede tut:
Mitgliedersynchronisierung aktualisiert den Datensatz Ihrer Organisation darüber, welche Mitglieder Seats, Seat-Tiers und Seat-Rollen (Benutzerdefinierte Rollen, Benutzer, Admin, Besitzer) zugeordnet sind. Dies kann sich auf den Login-Zugriff von Mitgliedern auf Claude auswirken.
Gruppensynchronisierung aktualisiert den Datensatz Ihrer Organisation darüber, welche SCIM-Gruppen vorhanden sind und wer zu ihnen gehört. Die Gruppenmitgliedschaft bestimmt, welche Funktionen Mitglieder mit benutzerdefinierten Rollen nutzen können, sowie Ausgabenlimits für Gruppen.
Wie lange manuelle Synchronisierungen dauern
Manuelle Synchronisierungen durchsuchen WorkOS erneut nach der vollständigen Liste der Mitglieder und Gruppen, um eine aktuelle Baseline zu erstellen. Rechnen Sie mit etwa einer Minute pro 100 Mitglieder in Ihrer Organisation – eine Organisation mit 1.000 Mitgliedern benötigt also etwa 10 Minuten für eine vollständige Neusynchronisierung.
Überprüfung des Synchronisierungsstatus
Um zu überprüfen, ob die Mitgliedschaft und Gruppen Ihrer Organisation aktuell sind, haben Sie zwei Möglichkeiten:
Exportieren Sie Ihre Mitgliederliste. Gehen Sie zu Organisationseinstellungen > Mitglieder und klicken Sie auf „CSV exportieren
Zeigen Sie den Datensatz der WorkOS-Integration an. Gehen Sie zu Organisationseinstellungen > Organisation und Zugriff und klicken Sie auf „SCIM verwalten
Risiken, auf die Sie beim erneuten Synchronisieren achten sollten
Bevor Sie eine manuelle Neusynchronisierung auslösen, beachten Sie Folgendes:
Das Ändern des Bereitstellungsmodus zu SCIM entfernt Mitglieder, die nicht in Ihrem IdP-Verzeichnis vorhanden sind. Bestätigen Sie, dass sich alle bestehenden Mitglieder in Ihrem IdP-Verzeichnis befinden, bevor Sie den Bereitstellungsmodus ändern.
Das Aktualisieren der E-Mail eines Mitglieds erstellt einen neuen Mitgliedsdatensatz. Das Mitglied mit der alten E-Mail wird entfernt, und ein neues Mitglied mit der neuen E-Mail wird erstellt.
Das Neusynchronisieren wird auf untergeordnete Organisationen übertragen. Wenn Sie mehrere Organisationen mit SCIM-Bereitstellung unter derselben übergeordneten Organisation haben, löst das Neusynchronisieren einer Organisation das Neusynchronisieren in den anderen aus. Dies schließt Sandbox-Organisationen ein, die dieselbe übergeordnete Organisation gemeinsam nutzen.
Unvollständige Gruppenzuordnungen entfernen Mitglieder aus der Organisation. Wenn Sie die Gruppenzuordnung für SCIM aktivieren, beenden Sie die Zuweisung aller Gruppen, bevor Sie speichern. Alle Mitglieder, die nicht in einer Rollengruppenabbildung enthalten sind, werden aus der Organisation entfernt. Wenn Sie die Seat-Tier-Zuordnung aktivieren, werden auch alle Mitglieder, die nicht in einer Seat-Tier-Gruppenzuordnung enthalten sind, entfernt.