Il provisioning SCIM mantiene sincronizzati l'iscrizione e i gruppi della tua organizzazione Enterprise con il tuo provider di identità. Questo articolo illustra cosa viene sincronizzato, come vengono attivate le sincronizzazioni e cosa tenere d'occhio durante la risincronizzazione.
Disponibile nel piano Enterprise. Per le istruzioni di configurazione, consulta Configurare il provisioning JIT o SCIM.
Cosa viene sincronizzato
Quando colleghi il tuo provider di identità (IdP) alla tua organizzazione Enterprise tramite l'integrazione WorkOS, due elementi vengono sincronizzati dal tuo IdP:
Membri dalla tua directory SCIM
Gruppi SCIM che hai inviato dal tuo IdP a WorkOS
L'appartenenza ai gruppi nella tua organizzazione determina quali funzionalità possono accedere i membri con ruoli personalizzati, insieme ai limiti di spesa del gruppo.
Sincronizzazione automatica
La tua organizzazione Enterprise riceve automaticamente le modifiche dal tuo IdP ogni volta che il tuo IdP invia aggiornamenti di membri o gruppi (aggiunte, rimozioni o modifiche) a WorkOS.
Dietro le quinte, la tua organizzazione esegue il polling di WorkOS per gli eventi di aggiornamento ogni minuto e li elabora in una coda. Questo metodo è alla fine coerente: le sincronizzazioni in genere si completano entro pochi minuti, ma possono richiedere diverse ore durante periodi di traffico di sistema elevato.
Sincronizzazione manuale
Alcune azioni attivano una sincronizzazione manuale immediatamente e puoi anche eseguirne una su richiesta.
Azioni che attivano una sincronizzazione manuale
Modifica della modalità di provisioning in SCIM. Qualsiasi membro non nella tua directory IdP viene rimosso e qualsiasi membro nella tua directory IdP viene aggiunto. Dovrai attendere questa risincronizzazione iniziale prima di configurare i mapping dei gruppi.
Abilitazione dei mapping dei gruppi. L'elenco completo dei membri e dei gruppi viene aggiornato. I ruoli e i livelli di seat dei membri nuovi ed esistenti vengono applicati dal mapping dei gruppi e non possono essere sovrascritti manualmente. Dopo aver salvato un nuovo mapping, fai clic su "Sincronizza"
Sincronizza ora per ricalcolare i ruoli e i livelli di seat per i membri esistenti.
Utilizzando il pulsante "Controlla aggiornamenti" in Impostazioni organizzazione > Gruppi.
Utilizzando il pulsante "Sincronizza" in Impostazioni organizzazione > Organizzazione e accesso sotto Provisioning utenti.
Nota: Quando aggiorni il provisioning dei seat o i ruoli dei seat tramite i mapping dei gruppi, i membri esistenti non vengono risincronizzati automaticamente. Attiva una sincronizzazione manuale per applicare le modifiche.
Quando disabiliti i mapping dei gruppi, recuperi la possibilità di assegnare manualmente i ruoli dei membri e i livelli di seat. I membri esistenti mantengono i loro ruoli attuali. I nuovi membri ricevono il ruolo Utente: cambia il loro ruolo in "Ruoli personalizzati" se desideri abilitare le autorizzazioni dei ruoli personalizzati.
Come attivare manualmente una sincronizzazione
Puoi attivare una sincronizzazione manuale da due posizioni nelle impostazioni di amministrazione.
Dalla pagina Gruppi
Fai clic su "Controlla aggiornamenti" sotto Sincronizzazione SCIM.
Seleziona se sincronizzare membri, gruppi o entrambi.
Dalla pagina Gestisci SCIM
Vai a Impostazioni organizzazione > Organizzazione e accesso e scorri fino alla sezione Provisioning utenti.
Fai clic su "Sincronizza."
Seleziona se sincronizzare membri, gruppi o entrambi.
Nota: Se attivi una sincronizzazione manuale mentre le modifiche in background sono in elaborazione, la tua organizzazione prende la modifica più recente per ogni membro o gruppo. Se più modifiche sono in coda per lo stesso membro o gruppo, potrebbe essere necessario risincronizzare di nuovo per assicurarsi che tutto venga applicato correttamente.
Sincronizzazione dei membri rispetto a sincronizzazione dei gruppi
Quando attivi una sincronizzazione manuale, puoi scegliere di sincronizzare membri, gruppi o entrambi. Ecco cosa fa ciascuno:
Sincronizzazione dei membri aggiorna il record della tua organizzazione su quali membri sono mappati ai seat, ai livelli di seat e ai ruoli dei seat (Ruoli personalizzati, Utente, Amministratore, Proprietario). Questo può influire sull'accesso di accesso dei membri a Claude.
Sincronizzazione dei gruppi aggiorna il record della tua organizzazione su quali gruppi SCIM esistono e chi vi appartiene. L'appartenenza ai gruppi determina quali funzionalità possono utilizzare i membri con ruoli personalizzati, insieme ai limiti di spesa del gruppo.
Quanto tempo richiedono le sincronizzazioni manuali
Le sincronizzazioni manuali eseguono nuovamente la scansione di WorkOS per l'elenco completo di membri e gruppi per stabilire una baseline aggiornata. Prevedi approssimativamente un minuto per 100 membri nella tua organizzazione, quindi un'organizzazione con 1.000 membri richiede circa 10 minuti per la risincronizzazione completa.
Verifica dello stato di sincronizzazione
Per verificare se l'iscrizione e i gruppi della tua organizzazione sono attuali, hai due opzioni:
Esporta l'elenco dei membri. Vai a Impostazioni organizzazione > Membri e fai clic su "Esporta CSV" per scaricare la visualizzazione corrente della tua iscrizione.
Visualizza il record dell'integrazione WorkOS. Vai a Impostazioni organizzazione > Organizzazione e accesso e fai clic su "Gestisci SCIM" per vedere cosa WorkOS attualmente contiene per la tua organizzazione.
Rischi da tenere d'occhio durante la risincronizzazione
Prima di attivare una risincronizzazione manuale, tieni presente quanto segue:
La modifica della modalità di provisioning in SCIM rimuove i membri non nella tua directory IdP. Conferma che tutti i membri esistenti si trovano nella tua directory IdP prima di modificare la modalità di provisioning.
L'aggiornamento dell'email di un membro crea un nuovo record di membro. Il membro con l'email precedente viene rimosso e viene creato un nuovo membro con la nuova email.
La risincronizzazione si propaga alle organizzazioni figlie. Se hai più organizzazioni con provisioning SCIM sotto la stessa organizzazione padre, la risincronizzazione di una attiva la risincronizzazione nelle altre. Ciò include le organizzazioni sandbox che condividono lo stesso padre.
I mapping dei gruppi incompleti rimuovono i membri dall'organizzazione. Quando abiliti il mapping dei gruppi per SCIM, finisci di assegnare tutti i gruppi prima di salvare. Qualsiasi membro non incluso in un mapping del gruppo di ruoli viene rimosso dall'organizzazione. Se abiliti il mapping del livello di seat, qualsiasi membro non in un mapping del gruppo del livello di seat viene rimosso anche.