SCIM 配置使您的企业组织的成员和群组与您的身份提供商保持同步。本文介绍了同步的内容、如何触发同步以及重新同步时需要注意的事项。
在企业计划中可用。有关设置说明,请参阅 设置 JIT 或 SCIM 配置。
同步的内容
当您通过 WorkOS 集成将身份提供商 (IdP) 连接到企业组织时,您的 IdP 会同步两项内容:
来自您的 SCIM 目录的成员
您从 IdP 推送到 WorkOS 的 SCIM 群组
组织中的群组成员身份决定了具有自定义角色的成员可以访问哪些功能,以及群组支出限制。
自动同步
每当您的 IdP 将成员或群组更新(添加、删除或编辑)推送到 WorkOS 时,您的企业组织会自动从 IdP 接收更改。
在后台,您的组织每分钟轮询 WorkOS 以获取更新事件,并在队列中处理它们。此方法最终是一致的——同步通常在几分钟内完成,但在系统流量高峰期可能需要几个小时。
手动同步
某些操作会立即触发手动同步,您也可以按需运行一次。
触发手动同步的操作
将配置模式更改为 SCIM。不在您的 IdP 目录中的任何成员都会被删除,您的 IdP 目录中的任何成员都会被添加。在配置群组映射之前,您需要等待此初始重新同步。
启用群组映射。成员和群组的完整列表会更新。新成员和现有成员的角色和座位层级由群组映射强制执行,无法手动覆盖。保存新映射后,单击"同步"
立即同步以重新计算现有成员的角色和座位层级。
使用 组织设置 > 群组 中的"检查更新"按钮。
使用 组织设置 > 组织和访问 中"用户配置"下的"同步"按钮。
注意:当您通过群组映射更新座位配置或座位角色时,现有成员不会自动重新同步。触发手动同步以应用更改。
禁用群组映射时,您可以恢复手动分配成员角色和座位层级的能力。现有成员保留其当前角色。新成员被分配用户角色——如果您想启用自定义角色权限,请将其角色更改为"自定义角色"。
如何手动触发同步
您可以从管理员设置中的两个位置触发手动同步。
从群组页面
转到 组织设置 > 群组。
在 SCIM 同步下单击"检查更新"。
选择是否同步成员、群组或两者。
从管理 SCIM 页面
转到 组织设置 > 组织和访问并滚动到用户配置部分。
单击"同步"。
选择是否同步成员、群组或两者。
注意:如果在后台更改正在处理时触发手动同步,您的组织会为每个成员或群组采用最新的更改。如果为同一成员或群组排队了多个更改,您可能需要重新同步以确保所有内容都正确应用。
成员同步与群组同步
触发手动同步时,您可以选择同步成员、群组或两者。以下是每个的作用:
成员同步更新您的组织关于哪些成员映射到座位、座位层级和座位角色(自定义角色、用户、管理员、所有者)的记录。这可能会影响成员对 Claude 的登录访问。
群组同步更新您的组织关于哪些 SCIM 群组存在以及谁属于它们的记录。群组成员身份决定了具有自定义角色的成员可以使用哪些功能,以及群组支出限制。
手动同步需要多长时间
手动同步重新扫描 WorkOS 以获取成员和群组的完整列表以建立最新的基线。预计每 100 个成员大约需要一分钟——因此一个拥有 1,000 个成员的组织需要大约 10 分钟才能完全重新同步。
验证您的同步状态
要检查您的组织的成员和群组是否是最新的,您有两个选项:
导出您的成员列表。转到 组织设置 > 成员并单击"导出 CSV"以下载您的成员身份的当前视图。
查看 WorkOS 集成的记录。转到 组织设置 > 组织和访问并单击"管理 SCIM"以查看 WorkOS 当前为您的组织保存的内容。
重新同步时需要注意的风险
在触发手动重新同步之前,请记住以下几点:
将配置模式更改为 SCIM 会删除不在您的 IdP 目录中的成员。在更改配置模式之前,请确认所有现有成员都在您的 IdP 目录中。
更新成员的电子邮件会创建新的成员记录。删除具有旧电子邮件的成员,并创建具有新电子邮件的新成员。
重新同步级联到子组织。如果您在同一父组织下有多个具有 SCIM 配置的组织,重新同步一个会触发其他组织中的重新同步。这包括共享同一父组织的沙箱组织。
不完整的群组映射会从组织中删除成员。为 SCIM 启用群组映射时,在保存之前完成分配所有群组。任何未包含在角色群组映射中的成员都会从组织中删除。如果启用座位层级映射,任何不在座位层级群组映射中的成员也会被删除。