O provisionamento SCIM mantém a associação e os grupos da sua organização Enterprise sincronizados com seu provedor de identidade. Este artigo aborda o que é sincronizado, como as sincronizações são acionadas e o que observar ao ressincronizar.
Disponível no plano Enterprise. Para instruções de configuração, consulte Configurar provisionamento JIT ou SCIM.
O que é sincronizado
Quando você conecta seu provedor de identidade (IdP) à sua organização Enterprise através da integração WorkOS, duas coisas são sincronizadas do seu IdP:
Membros do seu diretório SCIM
Grupos SCIM que você enviou do seu IdP para WorkOS
A associação de grupo na sua organização determina quais recursos os membros com funções personalizadas podem acessar, juntamente com os limites de gastos do grupo.
Sincronização automática
Sua organização Enterprise recebe alterações do seu IdP automaticamente sempre que seu IdP envia atualizações de membros ou grupos (adições, remoções ou edições) para WorkOS.
Nos bastidores, sua organização consulta WorkOS para eventos de atualização a cada minuto e os processa em uma fila. Este método é eventualmente consistente — as sincronizações normalmente são concluídas em minutos, mas podem levar várias horas durante períodos de alto tráfego do sistema.
Sincronização manual
Algumas ações acionam uma sincronização manual imediatamente, e você também pode executar uma sob demanda.
Ações que acionam uma sincronização manual
Alterar o modo de provisionamento para SCIM. Qualquer membro não no seu diretório IdP é removido, e qualquer membro no seu diretório IdP é adicionado. Você precisará aguardar esta ressincronização inicial antes de configurar mapeamentos de grupo.
Ativar mapeamentos de grupo. A lista completa de membros e grupos é atualizada. As funções e níveis de assento dos membros novos e existentes são aplicados pelo mapeamento de grupo e não podem ser substituídos manualmente. Após salvar um novo mapeamento, clique em "Sincronizar"
Sincronizar agora para recalcular funções e níveis de assento para membros existentes.
Usando o botão "Verificar atualizações" em Configurações da organização > Grupos.
Usando o botão "Sincronizar" em Configurações da organização > Organização e acesso em Provisionamento de usuário.
Observação: Quando você atualiza o provisionamento de assento ou funções de assento através de mapeamentos de grupo, os membros existentes não são ressincronizados automaticamente. Acione uma sincronização manual para aplicar as alterações.
Quando você desativa mapeamentos de grupo, você recupera a capacidade de atribuir manualmente funções de membros e níveis de assento. Os membros existentes mantêm suas funções atuais. Novos membros recebem a função Usuário — altere sua função para "Funções personalizadas" se você quiser ativar permissões de função personalizada.
Como acionar manualmente uma sincronização
Você pode acionar uma sincronização manual de dois lugares nas suas configurações de administrador.
Na página Grupos
Clique em "Verificar atualizações" em Sincronização SCIM.
Selecione se deseja sincronizar membros, grupos ou ambos.
Na página Gerenciar SCIM
Vá para Configurações da organização > Organização e acesso e role até a seção Provisionamento de usuário.
Clique em "Sincronizar."
Selecione se deseja sincronizar membros, grupos ou ambos.
Observação: Se você acionar uma sincronização manual enquanto as alterações em segundo plano estão sendo processadas, sua organização usa a alteração mais recente para cada membro ou grupo. Se várias alterações estiverem na fila para o mesmo membro ou grupo, você pode precisar ressincronizar novamente para garantir que tudo seja aplicado corretamente.
Sincronização de membros vs. sincronização de grupos
Quando você aciona uma sincronização manual, você pode escolher sincronizar membros, grupos ou ambos. Aqui está o que cada um faz:
Sincronização de membros atualiza o registro da sua organização sobre quais membros são mapeados para assentos, níveis de assento e funções de assento (Funções personalizadas, Usuário, Administrador, Proprietário). Isso pode afetar o acesso de login dos membros ao Claude.
Sincronização de grupos atualiza o registro da sua organização sobre quais grupos SCIM existem e quem pertence a eles. A associação de grupo determina quais recursos os membros com funções personalizadas podem usar, juntamente com os limites de gastos do grupo.
Quanto tempo as sincronizações manuais levam
As sincronizações manuais verificam novamente WorkOS para obter a lista completa de membros e grupos para estabelecer uma linha de base atualizada. Espere aproximadamente um minuto por 100 membros na sua organização — portanto, uma organização com 1.000 membros leva cerca de 10 minutos para ressincronizar completamente.
Verificando seu status de sincronização
Para verificar se a associação e os grupos da sua organização estão atualizados, você tem duas opções:
Exporte sua lista de membros. Vá para Configurações da organização > Membros e clique em "Exportar CSV" para baixar a visualização atual da sua associação.
Visualize o registro da integração WorkOS. Vá para Configurações da organização > Organização e acesso e clique em "Gerenciar SCIM" para ver o que WorkOS atualmente mantém para sua organização.
Riscos a observar ao ressincronizar
Antes de acionar uma ressincronização manual, tenha em mente o seguinte:
Alterar o modo de provisionamento para SCIM remove membros não no seu diretório IdP. Confirme que todos os membros existentes estão no seu diretório IdP antes de alterar o modo de provisionamento.
Atualizar o email de um membro cria um novo registro de membro. O membro com o email antigo é removido e um novo membro com o novo email é criado.
Ressincronizar cascata para organizações filhas. Se você tiver várias organizações com provisionamento SCIM sob a mesma organização pai, ressincronizar uma dispara ressincronização nas outras. Isso inclui organizações sandbox compartilhando o mesmo pai.
Mapeamentos de grupo incompletos removem membros da organização. Ao ativar mapeamento de grupo para SCIM, termine de atribuir todos os grupos antes de salvar. Qualquer membro não incluído em um mapeamento de grupo de função é removido da organização. Se você ativar mapeamento de nível de assento, qualquer membro não em um mapeamento de grupo de nível de assento também é removido.