SCIM 佈建可讓您的企業組織成員和群組與身分識別提供者保持同步。本文涵蓋同步的內容、如何觸發同步,以及重新同步時需要注意的事項。
適用於企業方案。如需設定說明,請參閱 設定 JIT 或 SCIM 佈建。
同步的內容
當您透過 WorkOS 整合將身分識別提供者 (IdP) 連接到企業組織時,會從您的 IdP 同步兩項內容:
來自 SCIM 目錄的成員
您從 IdP 推送到 WorkOS 的 SCIM 群組
組織中的群組成員資格決定具有自訂角色的成員可以存取哪些功能,以及群組支出限制。
自動同步
每當您的 IdP 將成員或群組更新 (新增、移除或編輯) 推送到 WorkOS 時,您的企業組織會自動從 IdP 接收變更。
在幕後,您的組織每分鐘輪詢 WorkOS 以取得更新事件,並在佇列中處理它們。此方法最終是一致的—同步通常在幾分鐘內完成,但在系統流量高峰期間可能需要數小時。
手動同步
某些動作會立即觸發手動同步,您也可以按需執行一次。
觸發手動同步的動作
將佈建模式變更為 SCIM。任何不在您的 IdP 目錄中的成員都會被移除,任何在您的 IdP 目錄中的成員都會被新增。您需要等待此初始重新同步完成,然後才能設定群組對應。
啟用群組對應。成員和群組的完整清單會更新。新成員和現有成員的角色和座位層級由群組對應強制執行,無法手動覆寫。儲存新對應後,按一下「同步」
立即同步以重新計算現有成員的角色和座位層級。
使用 組織設定 > 群組中的「檢查更新」按鈕。
使用 組織設定 > 組織和存取中「使用者佈建」下的「同步」按鈕。
注意:當您透過群組對應更新座位佈建或座位角色時,現有成員不會自動重新同步。觸發手動同步以套用變更。
當您停用群組對應時,您會重新獲得手動指派成員角色和座位層級的能力。現有成員保留其目前的角色。新成員被指派「使用者」角色—如果您想啟用自訂角色權限,請將其角色變更為「自訂角色」。
如何手動觸發同步
您可以從管理設定中的兩個位置觸發手動同步。
從群組頁面
前往 組織設定 > 群組。
在 SCIM 同步下按一下「檢查更新」。
選擇是否同步成員、群組或兩者。
從管理 SCIM 頁面
前往 組織設定 > 組織和存取並捲動至「使用者佈建」部分。
按一下「同步」。
選擇是否同步成員、群組或兩者。
注意:如果您在背景變更正在處理時觸發手動同步,您的組織會為每個成員或群組採用最新的變更。如果為同一成員或群組排隊了多個變更,您可能需要重新同步以確保所有內容都正確套用。
成員同步與群組同步
當您觸發手動同步時,您可以選擇同步成員、群組或兩者。以下是每個的作用:
成員同步更新您的組織對於哪些成員對應到座位、座位層級和座位角色 (自訂角色、使用者、管理員、擁有者) 的記錄。這可能會影響成員對 Claude 的登入存取。
群組同步更新您的組織對於哪些 SCIM 群組存在以及誰屬於它們的記錄。群組成員資格決定具有自訂角色的成員可以使用哪些功能,以及群組支出限制。
手動同步需要多長時間
手動同步會重新掃描 WorkOS 以取得成員和群組的完整清單,以建立最新的基準。預期大約每 100 個成員需要一分鐘—因此 1,000 個成員的組織需要約 10 分鐘才能完全重新同步。
驗證您的同步狀態
若要檢查您的組織成員和群組是否為最新狀態,您有兩個選項:
匯出您的成員清單。前往 組織設定 > 成員並按一下「匯出 CSV」以下載您成員資格的目前檢視。
檢視 WorkOS 整合的記錄。前往 組織設定 > 組織和存取並按一下「管理 SCIM」以查看 WorkOS 目前為您的組織保留的內容。
重新同步時需要注意的風險
在觸發手動重新同步之前,請記住以下事項:
將佈建模式變更為 SCIM 會移除不在您的 IdP 目錄中的成員。在變更佈建模式之前,請確認所有現有成員都在您的 IdP 目錄中。
更新成員的電子郵件會建立新的成員記錄。具有舊電子郵件的成員被移除,並建立具有新電子郵件的新成員。
重新同步會級聯到子組織。如果您在同一父組織下有多個具有 SCIM 佈建的組織,重新同步其中一個會觸發其他組織中的重新同步。這包括共享同一父組織的沙箱組織。
不完整的群組對應會從組織中移除成員。為 SCIM 啟用群組對應時,請先完成指派所有群組,然後再儲存。任何未包含在角色群組對應中的成員都會從組織中移除。如果您啟用座位層級對應,任何不在座位層級群組對應中的成員也會被移除。