informação

This translation has not been approved yet, read in English to be sure you get an accurate article.

Perguntas frequentes sobre SCIM

Perguntas gerais

O que é SCIM e por que devo usá-lo?

SCIM (System for Cross-domain Identity Management) é um protocolo padrão do setor para automatizar o gerenciamento de identidade de usuários entre sistemas. Com a integração SCIM, você pode:

Criar contas de usuário automaticamente quando novos funcionários entram
Atualizar informações do usuário quando ocorrem alterações no seu provedor de identidade
Remover contas imediatamente quando funcionários saem
Reduzir o trabalho administrativo manual e erros humanos
Garantir dados de usuário consistentes entre sistemas

Quais provedores de identidade são suportados?

Microsoft Entra ID (anteriormente Azure Active Directory, Azure AD)

Para configurar o Cosafe SCIM com outros IdPs, entre em contato com o suporte.

Perguntas técnicas

Qual versão do SCIM o Cosafe suporta?

A Cosafe implementa o protocolo SCIM 2.0, especificamente um subconjunto de operações focadas em provisionamento padrão de usuários e gerenciamento de grupos, que é utilizado pela maioria dos provedores de identidade.

O que acontece se minha chave de API for comprometida?

Se você suspeitar que sua chave de API foi comprometida:

Entre em contato com o suporte da Cosafe imediatamente em support@cosafe.com
O suporte desativará a chave atual e emitirá uma nova
Atualize a configuração do seu provedor de identidade com a nova chave
Monitore os registros de auditoria do seu provedor de identidade

Perguntas sobre gerenciamento de usuários e grupos

Quais informações do usuário são sincronizadas?

Os seguintes atributos de usuário são sincronizados:

Obrigatório: Nome de usuário, nome de exibição
Opcional: Números de telefone, cargo
Status: Status ativo para gerenciamento de conta

Atributos atualizáveis:

Atualizável: Nome de usuário, nome de exibição, cargo, números de telefone

Para mais informações sobre atributos, consulte Atributos suportados

Quais informações do grupo são sincronizadas?

Os seguintes atributos de grupo são sincronizados:

Opcional: Nome de exibição

Para informações sobre como remover o mapeamento do nome de exibição, consulte Etapa 5: Configuração do mapeamento de atributos e role um pouco para baixo.

Posso usar o mesmo ID de grupo para vários grupos no Cosafe?

Com o protocolo SCIM, a correspondência precisa ser única. Um externalId por grupo Cosafe.

Posso excluir determinados usuários ou grupos da sincronização SCIM?

Sim, a maioria dos provedores de identidade permite que você:

Crie a integração de provisionamento com escopo apenas para usuários e grupos atribuídos
Configure limitações de escopo nas suas configurações de provisionamento

Entre em contato com o suporte da Cosafe para orientações específicas de configuração.

Como funcionam os convites para o Cosafe com usuários criados pelo SCIM?

Quando os usuários são criados pelo SCIM, eles são ativados imediatamente, podendo fazer login com SSO ou usar a função "esqueci minha senha".

Se eles também receberão um e-mail de boas-vindas é controlado pela alternância de e-mails automáticos de boas-vindas no Admin Panel em Conta → Integrações (visível apenas quando o SCIM está habilitado):

Ativado: Cada usuário criado via SCIM recebe automaticamente um convite por e-mail de boas-vindas.
Desativado: Os usuários são criados e ativados sem um e-mail de boas-vindas. Você pode convidá-los manualmente pela página Usuários.

O que acontece se atingirmos nosso limite de licenças ao sincronizar usuários?

O SCIM não conseguirá exceder o limite máximo. Se o limite for atingido, os usuários não serão mais provisionados e seu provedor SCIM apresentará erro. Será necessário entrar em contato com nosso suporte para aumentar o limite. Assim que licenças adicionais estiverem disponíveis, os usuários voltarão a ser provisionados.

O que acontece quando um usuário é excluído no meu provedor de identidade?

Quando um usuário é excluído ou desativado no seu provedor de identidade:

A conta do usuário no Cosafe é excluída automaticamente
O usuário perde o acesso ao Cosafe imediatamente
Dados históricos e registros de auditoria são preservados

Posso sobrescrever manualmente os dados gerenciados pelo SCIM?

Você pode editar atributos que não são mapeados via SCIM (Atributos suportados).

É altamente recomendável não editar dados e atributos mapeados via SCIM. Fazê-lo resultará em dados de usuário conflitantes ou inválidos entre o Cosafe e seu IdP.

Ainda posso criar usuários manualmente se eu tiver habilitado o SCIM?

Sim! Os usuários que você cria manualmente serão ignorados pela sincronização do SCIM, desde que não sejam gerenciados pelo seu provedor de identidade.

Isso inclui adicionar o usuário a grupos gerenciados pelo SCIM.

O que acontece se um usuário sincronizado, que foi adicionado manualmente a grupos gerenciados manualmente, é removido do seu grupo sincronizado?

Se um usuário for definido como inativo, excluído ou removido de todos os grupos SCIM no seu AD, o usuário será excluído do Cosafe e removido de todos os grupos, incluindo grupos gerenciados manualmente.

No entanto, se o usuário ainda for membro de um ou mais grupos SCIM, ele permanecerá em quaisquer grupos adicionados manualmente até ser removido manualmente desses grupos ou até atender aos critérios acima.

Posso sincronizar um usuário para um grupo que de outra forma é gerenciado manualmente?

Sim — mas apenas sob certas condições.

Se você tem um grupo gerenciado manualmente e quer sincronizar usuários específicos (por exemplo, professores de idiomas) para esse grupo via AD/IdP, funcionará desde que os outros usuários do grupo não estejam incluídos na mesma sincronização do AD/IdP.

Se o endereço de e-mail de um usuário fizer parte do diretório sincronizado, o provedor de identidade (AD/IdP) assumirá o controle da associação de grupo desse usuário. Nesse caso, o gerenciamento manual de grupo pode ser sobrescrito pela sincronização.

Em resumo:

Você pode misturar usuários manuais e sincronizados em um grupo
Mas apenas se os usuários adicionados manualmente não fizerem parte do escopo do AD/IdP sincronizado

Posso adicionar um usuário criado manualmente a um grupo sincronizado?

Sim.

Você pode adicionar manualmente usuários a grupos, mesmo que esses usuários venham do AD/IdP. No entanto:

Se o próprio grupo for gerenciado por SCIM (sincronizado), sua associação será controlada pelo provedor de identidade.
O SCIM adicionará e removerá usuários automaticamente com base no que está definido no AD/IdP.
Quaisquer alterações manuais em um grupo gerenciado pelo SCIM podem ser sobrescritas durante a próxima sincronização.

Se o grupo for gerenciado manualmente, você pode adicionar livremente usuários AD/IdP a ele — e o SCIM não os removerá automaticamente, a menos que o próprio grupo faça parte da configuração de sincronização.

Em resumo:

Você pode adicionar manualmente usuários AD/IdP a grupos gerenciados manualmente
O SCIM controla apenas grupos configurados para sincronização
Grupos sincronizados sempre seguirão o IdP — edições manuais podem não persistir

O que acontece se você mover um grupo sincronizado para outra conta no admin panel?

Ao mover um grupo no admin panel, você será perguntado se deseja adicionar os usuários à nova conta ou removê-los do grupo.

Se você escolher Adicionar, eles serão adicionados normalmente e continuarão a ser sincronizados com o grupo na nova conta.
Se você escolher Remover, os resultados podem variar dependendo do seu provedor. Por exemplo, o Entra pode ainda considerar os usuários como membros do grupo e, portanto, não adicioná-los novamente.

Nota importante

Observe que o SCIM não pode remover usuários da subconta ou conta principal anterior. A sincronização apenas adicionará usuários à nova conta. Se os usuários precisarem ser removidos da subconta ou conta principal anterior, isso precisará ser tratado manualmente.

O que acontece com um usuário se o grupo sincronizado for excluído?

Se o grupo for excluído no Entra:

Se o usuário estiver sincronizado via Entra e for membro apenas desse grupo, o usuário será excluído.
Se o usuário estiver sincronizado via Entra e for membro de múltiplos grupos, o usuário permanecerá nos grupos restantes.

Se o grupo for excluído no admin panel:

A sincronização SCIM apresentará erro, pois não há mais um grupo correspondente no CoSafe.
Os usuários permanecerão na conta à qual os grupos pertenciam.

Perguntas para solução de problemas

Os usuários não estão sincronizando — o que devo verificar?

Etapas comuns de solução de problemas:

Verificar credenciais de API:
- Verifique se a chave de API está correta e ativa
- Confirme o formato do SCIM Base URL
- Teste a conexão pela configuração de integração do seu provedor de identidade. Normalmente, nas configurações de integração/credenciais, após os campos base-url e access-key/token, há um botão "Test", "Connect" ou "Test connection".
Verifique a configuração do provedor de identidade:
- Verifique se o provisionamento está habilitado
- Confirme se os mapeamentos de atributos estão corretos
- Confirme se grupos e/ou usuários estão atribuídos à integração SCIM

Por que alguns atributos de usuário não estão sincronizando?

Possíveis causas:

Mapeamento de atributo ausente: Verifique a configuração do seu provedor de identidade
Atributos não suportados: Verifique se os atributos são suportados pelo Cosafe SCIM e estão mapeados corretamente na configuração do seu provedor de identidade
Problemas de formato de dados: Garanta que os formatos de dados correspondam aos padrões SCIM esperados

Mais detalhes sobre mapeamento e requisitos de formato estão em Configuração de mapeamento de atributos

Como lido com problemas de atribuição de grupo?

Para problemas de atribuição de grupo:

Verificar mapeamento de grupo: Verifique se os grupos do provedor de identidade mapeiam para IDs de grupo Cosafe válidos
Verificar permissões de grupo: Garanta que os grupos existam e estejam acessíveis no Cosafe
Revisar regras de atributo: Confirme a atribuição de grupo no seu provedor de identidade

Perguntas de implementação

Posso migrar usuários existentes para o gerenciamento SCIM?

Sim, usuários existentes podem ser migrados para o gerenciamento SCIM.

Precisa de mais ajuda?

Se você tiver dúvidas não cobertas nesta FAQ, envie um e-mail para nossa equipe de suporte em support@cosafe.com

Perguntas gerais​

O que é SCIM e por que devo usá-lo?​

Quais provedores de identidade são suportados?​

Perguntas técnicas​

Qual versão do SCIM o Cosafe suporta?​

O que acontece se minha chave de API for comprometida?​

Perguntas sobre gerenciamento de usuários e grupos​

Quais informações do usuário são sincronizadas?​

Quais informações do grupo são sincronizadas?​

Posso usar o mesmo ID de grupo para vários grupos no Cosafe?​

Posso excluir determinados usuários ou grupos da sincronização SCIM?​

Como funcionam os convites para o Cosafe com usuários criados pelo SCIM?​

O que acontece se atingirmos nosso limite de licenças ao sincronizar usuários?​

O que acontece quando um usuário é excluído no meu provedor de identidade?​

Posso sobrescrever manualmente os dados gerenciados pelo SCIM?​

Ainda posso criar usuários manualmente se eu tiver habilitado o SCIM?​

O que acontece se um usuário sincronizado, que foi adicionado manualmente a grupos gerenciados manualmente, é removido do seu grupo sincronizado?​

Posso sincronizar um usuário para um grupo que de outra forma é gerenciado manualmente?​

Posso adicionar um usuário criado manualmente a um grupo sincronizado?​

O que acontece se você mover um grupo sincronizado para outra conta no admin panel?​

O que acontece com um usuário se o grupo sincronizado for excluído?​

Perguntas para solução de problemas​

Os usuários não estão sincronizando — o que devo verificar?​

Por que alguns atributos de usuário não estão sincronizando?​

Como lido com problemas de atribuição de grupo?​

Perguntas de implementação​

Posso migrar usuários existentes para o gerenciamento SCIM?​

Precisa de mais ajuda?​