El aprovisionamiento SCIM mantiene la membresía y los grupos de tu organización Enterprise sincronizados con tu proveedor de identidad. Este artículo cubre qué se sincroniza, cómo se activan las sincronizaciones y qué debes tener en cuenta al resincronizar.
Disponible en el plan Enterprise. Para obtener instrucciones de configuración, consulta Configurar aprovisionamiento JIT o SCIM.
Qué se sincroniza
Cuando conectas tu proveedor de identidad (IdP) a tu organización Enterprise a través de la integración de WorkOS, dos cosas se sincronizan desde tu IdP:
Miembros de tu directorio SCIM
Grupos SCIM que has enviado desde tu IdP a WorkOS
La membresía de grupo en tu organización determina qué capacidades pueden acceder los miembros con roles personalizados, junto con los límites de gasto del grupo.
Sincronización automática
Tu organización Enterprise recibe cambios de tu IdP automáticamente cada vez que tu IdP envía actualizaciones de miembros o grupos (adiciones, eliminaciones o ediciones) a WorkOS.
Entre bastidores, tu organización consulta WorkOS para eventos de actualización cada minuto y los procesa en una cola. Este método es eventualmente consistente: las sincronizaciones generalmente se completan en minutos, pero pueden tardar varias horas durante períodos de alto tráfico del sistema.
Sincronización manual
Algunas acciones activan una sincronización manual inmediatamente, y también puedes ejecutar una bajo demanda.
Acciones que activan una sincronización manual
Cambiar el modo de aprovisionamiento a SCIM. Se elimina cualquier miembro que no esté en tu directorio IdP, y se agrega cualquier miembro que esté en tu directorio IdP. Deberás esperar a que se complete esta resincronización inicial antes de configurar asignaciones de grupos.
Habilitar asignaciones de grupos. Se actualiza la lista completa de miembros y grupos. Los roles y niveles de asiento de los miembros nuevos y existentes se aplican mediante la asignación de grupos y no se pueden anular manualmente. Después de guardar una nueva asignación, haz clic en "Sincronizar"
Sincronizar ahora para recalcular roles y niveles de asiento para miembros existentes.
Usando el botón "Buscar actualizaciones" en Configuración de la organización > Grupos.
Usando el botón "Sincronizar" en Configuración de la organización > Organización y acceso bajo Aprovisionamiento de usuarios.
Nota: Cuando actualizas el aprovisionamiento de asientos o los roles de asientos a través de asignaciones de grupos, los miembros existentes no se resincronizarán automáticamente. Activa una sincronización manual para aplicar los cambios.
Cuando deshabilitas las asignaciones de grupos, recuperas la capacidad de asignar manualmente roles de miembros y niveles de asiento. Los miembros existentes mantienen sus roles actuales. Los nuevos miembros reciben el rol de Usuario: cambia su rol a "Roles personalizados" si deseas habilitar permisos de roles personalizados.
Cómo activar manualmente una sincronización
Puedes activar una sincronización manual desde dos lugares en tu configuración de administrador.
Desde la página de Grupos
Haz clic en "Buscar actualizaciones" bajo Sincronización SCIM.
Selecciona si deseas sincronizar miembros, grupos o ambos.
Desde la página Administrar SCIM
Ve a Configuración de la organización > Organización y acceso y desplázate hasta la sección Aprovisionamiento de usuarios.
Haz clic en "Sincronizar."
Selecciona si deseas sincronizar miembros, grupos o ambos.
Nota: Si activas una sincronización manual mientras se procesan cambios en segundo plano, tu organización toma el cambio más reciente para cada miembro o grupo. Si hay varios cambios en cola para el mismo miembro o grupo, es posible que debas resincronizar nuevamente para asegurarte de que todo se aplique correctamente.
Sincronización de miembros vs. sincronización de grupos
Cuando activas una sincronización manual, puedes elegir sincronizar miembros, grupos o ambos. Esto es lo que hace cada uno:
Sincronización de miembros actualiza el registro de tu organización sobre qué miembros se asignan a asientos, niveles de asiento y roles de asiento (Roles personalizados, Usuario, Administrador, Propietario). Esto puede afectar el acceso de inicio de sesión de los miembros a Claude.
Sincronización de grupos actualiza el registro de tu organización sobre qué grupos SCIM existen y quién pertenece a ellos. La membresía de grupo determina qué capacidades pueden usar los miembros con roles personalizados, junto con los límites de gasto del grupo.
Cuánto tiempo tardan las sincronizaciones manuales
Las sincronizaciones manuales vuelven a escanear WorkOS para obtener la lista completa de miembros y grupos para establecer una línea de base actualizada. Espera aproximadamente un minuto por cada 100 miembros en tu organización, por lo que una organización de 1,000 miembros tarda aproximadamente 10 minutos en resincronizarse completamente.
Verificar el estado de tu sincronización
Para verificar si la membresía y los grupos de tu organización están actualizados, tienes dos opciones:
Exporta tu lista de miembros. Ve a Configuración de la organización > Miembros y haz clic en "Exportar CSV" para descargar la vista actual de tu membresía.
Ver el registro de la integración de WorkOS. Ve a Configuración de la organización > Organización y acceso y haz clic en "Administrar SCIM" para ver lo que WorkOS actualmente tiene para tu organización.
Riesgos a tener en cuenta al resincronizar
Antes de activar una resincronización manual, ten en cuenta lo siguiente:
Cambiar el modo de aprovisionamiento a SCIM elimina miembros que no están en tu directorio IdP. Confirma que todos los miembros existentes están en tu directorio IdP antes de cambiar el modo de aprovisionamiento.
Actualizar el correo electrónico de un miembro crea un nuevo registro de miembro. Se elimina el miembro con el correo electrónico anterior y se crea un nuevo miembro con el nuevo correo electrónico.
La resincronización se propaga a organizaciones secundarias. Si tienes varias organizaciones con aprovisionamiento SCIM bajo la misma organización principal, resincronizar una activa la resincronización en las otras. Esto incluye organizaciones de prueba que comparten la misma organización principal.
Las asignaciones de grupos incompletas eliminan miembros de la organización. Al habilitar la asignación de grupos para SCIM, termina de asignar todos los grupos antes de guardar. Se elimina cualquier miembro que no esté incluido en una asignación de grupo de rol de la organización. Si habilitas la asignación de nivel de asiento, también se elimina cualquier miembro que no esté en una asignación de grupo de nivel de asiento.