L'approvisionnement SCIM maintient l'adhésion et les groupes de votre organisation Enterprise synchronisés avec votre fournisseur d'identité. Cet article couvre ce qui est synchronisé, comment les synchronisations sont déclenchées et ce à quoi faire attention lors de la resynchronisation.
Disponible sur le plan Enterprise. Pour les instructions de configuration, consultez Configurer l'approvisionnement JIT ou SCIM.
Ce qui est synchronisé
Lorsque vous connectez votre fournisseur d'identité (IdP) à votre organisation Enterprise via l'intégration WorkOS, deux éléments se synchronisent à partir de votre IdP :
Membres de votre répertoire SCIM
Groupes SCIM que vous avez envoyés de votre IdP à WorkOS
L'appartenance au groupe dans votre organisation détermine les capacités auxquelles les membres ayant des rôles personnalisés peuvent accéder, ainsi que les limites de dépenses du groupe.
Synchronisation automatique
Votre organisation Enterprise reçoit automatiquement les modifications de votre IdP chaque fois que votre IdP envoie des mises à jour de membres ou de groupes (ajouts, suppressions ou modifications) à WorkOS.
En arrière-plan, votre organisation interroge WorkOS pour les événements de mise à jour chaque minute et les traite dans une file d'attente. Cette méthode est finalement cohérente : les synchronisations se terminent généralement en quelques minutes, mais peuvent prendre plusieurs heures pendant les périodes de trafic système élevé.
Synchronisation manuelle
Certaines actions déclenchent une synchronisation manuelle immédiatement, et vous pouvez également en exécuter une à la demande.
Actions qui déclenchent une synchronisation manuelle
Modification du mode d'approvisionnement en SCIM. Tout membre ne figurant pas dans votre répertoire IdP est supprimé, et tout membre figurant dans votre répertoire IdP est ajouté. Vous devrez attendre cette resynchronisation initiale avant de configurer les mappages de groupes.
Activation des mappages de groupes. La liste complète des membres et des groupes est mise à jour. Les rôles et niveaux de siège des nouveaux membres et des membres existants sont appliqués par le mappage de groupes et ne peuvent pas être remplacés manuellement. Après avoir enregistré un nouveau mappage, cliquez sur « Synchroniser »
Synchroniser maintenant pour recalculer les rôles et les niveaux de siège pour les membres existants.
Utilisation du bouton « Vérifier les mises à jour » à Paramètres de l'organisation > Groupes.
Utilisation du bouton « Synchroniser » à Paramètres de l'organisation > Organisation et accès sous Approvisionnement des utilisateurs.
Remarque : Lorsque vous mettez à jour l'approvisionnement des sièges ou les rôles des sièges via les mappages de groupes, les membres existants ne sont pas resynchronisés automatiquement. Déclenchez une synchronisation manuelle pour appliquer les modifications.
Lorsque vous désactivez les mappages de groupes, vous retrouvez la possibilité d'attribuer manuellement les rôles des membres et les niveaux de siège. Les membres existants conservent leurs rôles actuels. Les nouveaux membres se voient attribuer le rôle Utilisateur : modifiez leur rôle en « Rôles personnalisés » si vous souhaitez activer les autorisations de rôles personnalisés.
Comment déclencher manuellement une synchronisation
Vous pouvez déclencher une synchronisation manuelle à partir de deux endroits dans vos paramètres d'administration.
À partir de la page Groupes
Accédez à Paramètres de l'organisation > Groupes.
Cliquez sur « Vérifier les mises à jour » sous Synchronisation SCIM.
Sélectionnez si vous souhaitez synchroniser les membres, les groupes ou les deux.
À partir de la page Gérer SCIM
Accédez à Paramètres de l'organisation > Organisation et accès et faites défiler jusqu'à la section Approvisionnement des utilisateurs.
Cliquez sur « Synchroniser ».
Sélectionnez si vous souhaitez synchroniser les membres, les groupes ou les deux.
Remarque : Si vous déclenchez une synchronisation manuelle pendant que les modifications en arrière-plan sont en cours de traitement, votre organisation prend la modification la plus récente pour chaque membre ou groupe. Si plusieurs modifications sont en attente pour le même membre ou groupe, vous devrez peut-être resynchroniser pour vous assurer que tout s'applique correctement.
Synchronisation des membres par rapport à la synchronisation des groupes
Lorsque vous déclenchez une synchronisation manuelle, vous pouvez choisir de synchroniser les membres, les groupes ou les deux. Voici ce que chacun fait :
Synchronisation des membres met à jour l'enregistrement de votre organisation concernant les membres mappés aux sièges, les niveaux de siège et les rôles de siège (Rôles personnalisés, Utilisateur, Administrateur, Propriétaire). Cela peut affecter l'accès de connexion des membres à Claude.
Synchronisation des groupes met à jour l'enregistrement de votre organisation concernant les groupes SCIM existants et qui en fait partie. L'appartenance au groupe détermine les capacités que les membres ayant des rôles personnalisés peuvent utiliser, ainsi que les limites de dépenses du groupe.
Durée des synchronisations manuelles
Les synchronisations manuelles réanalysent WorkOS pour établir une liste à jour des membres et des groupes. Comptez environ une minute pour 100 membres dans votre organisation : une organisation de 1 000 membres prend donc environ 10 minutes pour se resynchroniser complètement.
Vérification de votre statut de synchronisation
Pour vérifier si l'adhésion et les groupes de votre organisation sont à jour, vous avez deux options :
Exportez votre liste de membres. Accédez à Paramètres de l'organisation > Membres et cliquez sur « Exporter CSV » pour télécharger la vue actuelle de votre adhésion.
Consultez l'enregistrement de l'intégration WorkOS. Accédez à Paramètres de l'organisation > Organisation et accès et cliquez sur « Gérer SCIM » pour voir ce que WorkOS détient actuellement pour votre organisation.
Risques à surveiller lors de la resynchronisation
Avant de déclencher une resynchronisation manuelle, gardez ceci à l'esprit :
La modification du mode d'approvisionnement en SCIM supprime les membres ne figurant pas dans votre répertoire IdP. Confirmez que tous les membres existants figurent dans votre répertoire IdP avant de modifier le mode d'approvisionnement.
La mise à jour de l'e-mail d'un membre crée un nouvel enregistrement de membre. Le membre avec l'ancien e-mail est supprimé et un nouveau membre avec le nouvel e-mail est créé.
La resynchronisation s'étend aux organisations enfants. Si vous avez plusieurs organisations avec approvisionnement SCIM sous la même organisation parent, la resynchronisation d'une déclenche la resynchronisation dans les autres. Cela inclut les organisations sandbox partageant le même parent.
Les mappages de groupes incomplets suppriment les membres de l'organisation. Lors de l'activation du mappage de groupes pour SCIM, terminez l'attribution de tous les groupes avant d'enregistrer. Tout membre non inclus dans un mappage de groupe de rôles est supprimé de l'organisation. Si vous activez le mappage des niveaux de siège, tout membre ne figurant pas dans un mappage de groupe de niveaux de siège est également supprimé.