Perguntas frequentes sobre SCIM

Perguntas gerais

O que é SCIM e por que devo usá-lo?

SCIM (Sistema para Gerenciamento de Identidade entre Domínios) é um protocolo padrão do setor para automatizar o gerenciamento de identidade do usuário entre sistemas. Com a integração do SCIM, você pode:

Crie contas de usuário automaticamente quando novos funcionários ingressam
Atualizar as informações do usuário quando ocorrerem alterações no seu provedor de identidade
Remover contas imediatamente quando os funcionários saem
Reduza o trabalho administrativo manual e os erros humanos
Garantir dados de usuário consistentes em todos os sistemas

Quais provedores de identidade são suportados?

Microsoft Entra ID (anteriormente Azure Active Directory, Azure AD)

Para configurar o Cosafe SCIM com outros IdPs, entre em contato com o suporte.

Perguntas técnicas

Qual versão do SCIM o Cosafe suporta?

A Cosafe implementa o protocolo SCIM 2.0, que oferece suporte específico a um subconjunto de operações focadas no provisionamento padrão de usuários e gerenciamento de grupos, que está sendo usado pela maioria dos provedores de identidade.

O que acontece se minha chave de API for comprometida?

Se você suspeitar que sua chave de API foi comprometida:

Entre em contato com o suporte da Cosafe imediatamente em support@cosafe.com
O suporte desativará a chave atual e emitirá uma nova
Atualize a configuração do seu provedor de identidade com a nova chave
Monitore os registros de auditoria do seu provedor de identidade

Perguntas sobre gerenciamento de usuários e grupos

Quais informações do usuário são sincronizadas?

Os seguintes atributos de usuário são sincronizados:

Obrigatório: Nome de usuário, nome de exibição
Opcional: Números de telefone, cargo
Status: Status ativo para gerenciamento de conta

Atributos atualizáveis:

Atualizável: Nome de usuário, nome de exibição, cargo, números de telefone

Para obter mais informações sobre atributos, consulte Atributos suportados

Quais informações do grupo são sincronizadas?

Os seguintes atributos de grupo são sincronizados:

Opcional: Nome de exibição

Para obter informações sobre como remover o mapeamento do nome de exibição, consulte Etapa 5: Configuração do mapeamento de atributos e role um pouco para baixo.

Posso usar o mesmo ID de grupo para vários grupos no Cosafe?

Com o protocolo SCIM, a correspondência precisa ser única. Um externalId por grupo Cosafe.

Posso excluir determinados usuários ou grupos da sincronização SCIM?

Sim, a maioria dos provedores de identidade permite que você:

Criar integração de provisionamento com escopo apenas para usuários e grupos atribuídos
Configure as limitações de escopo nas suas configurações de provisionamento.

Para obter orientações específicas sobre a configuração, entre em contato com o suporte da Cosafe.

Como funcionam os convites para o Cosafe com usuários criados pelo SCIM?

Quando os usuários são criados por meio do SCIM:

Os usuários são ativados imediatamente para que possam fazer login com SSO ou usar a função "esqueci minha senha".
No momento, eles não recebem automaticamente um e-mail de convite. Se você deseja que os usuários recebam o e-mail de convite, precisa convidá-los manualmente.

O que acontece se atingirmos o limite de licenças ao sincronizar usuários?

O SCIM não poderá exceder o limite máximo. Se o limite for atingido, os usuários não serão mais provisionados e seu provedor SCIM apresentará um erro. Você precisará entrar em contato com nosso suporte para aumentar o limite. Assim que licenças adicionais estiverem disponíveis, os usuários voltarão a ser provisionados.

O que acontece quando um usuário é excluído no meu provedor de identidade?

Quando um usuário é excluído ou desativado no seu provedor de identidade:

A conta do usuário no Cosafe é excluída automaticamente
O usuário perde o acesso ao Cosafe imediatamente
Dados históricos e registros de auditoria são preservados

Posso substituir manualmente dados gerenciados pelo SCIM?

Você pode editar atributos que não são mapeados via SCIM (Atributos Suportados).

É altamente recomendável não editar dados e atributos mapeados via SCIM. Fazer isso resultará em dados de usuário conflitantes ou inválidos entre o Cosafe e seu IdP.

Ainda posso criar usuários manualmente se tiver habilitado o SCIM?

Sim! Os usuários criados manualmente serão ignorados pela sincronização do SCIM, desde que não sejam gerenciados pelo seu provedor de identidade.

Isso inclui adicionar o usuário a grupos gerenciados pelo SCIM.

O que acontece se um usuário sincronizado, que foi adicionado manualmente a grupos gerenciados manualmente, for removido do seu grupo sincronizado?

Se um usuário for definido como inativo, excluído ou removido de todos os grupos SCIM no seu Active Directory, ele será excluído do Cosafe e removido de todos os grupos, incluindo os grupos gerenciados manualmente.

No entanto, se o usuário ainda for membro de um ou mais grupos SCIM, ele permanecerá em quaisquer grupos adicionados manualmente até que seja removido manualmente desses grupos ou até que atenda aos critérios acima.

Posso sincronizar um usuário com um grupo que, de outra forma, seria gerenciado manualmente?

Sim, mas apenas sob certas condições.

Se você tiver um grupo gerenciado manualmente e quiser sincronizar usuários específicos (por exemplo, professores de idiomas) com esse grupo via AD/IdP, isso funcionará desde que os outros usuários do grupo não estejam incluídos na mesma sincronização do AD/IdP.

Se o endereço de e-mail de um usuário fizer parte do diretório sincronizado, o provedor de identidade (AD/IdP) assumirá o controle da associação de grupo desse usuário. Nesse caso, o gerenciamento manual de grupos pode ser substituído pela sincronização.

Resumidamente:

Você pode misturar usuários manuais e sincronizados em um grupo.
Mas somente se os usuários adicionados manualmente não fizerem parte do escopo do AD/IdP sincronizado.

Posso adicionar um usuário criado manualmente a um grupo sincronizado?

Sim.

Você pode adicionar usuários a grupos manualmente, mesmo que esses usuários venham do AD/IdP. No entanto:

Se o próprio grupo for gerenciado por SCIM (sincronizado), sua composição será controlada pelo provedor de identidade.
O SCIM adicionará e removerá usuários automaticamente com base no que estiver definido no AD/IdP.
Quaisquer alterações manuais feitas em um grupo gerenciado pelo SCIM podem ser sobrescritas durante a próxima sincronização.

Se o grupo for gerenciado manualmente, você poderá adicionar usuários do AD/IdP a ele livremente, e o SCIM não os removerá automaticamente, a menos que o próprio grupo faça parte da configuração de sincronização.

Resumidamente:

Você pode adicionar manualmente usuários do AD/IdP a grupos gerenciados manualmente.
O SCIM controla apenas os grupos configurados para sincronização.
Os grupos sincronizados sempre seguirão o IdP - edições manuais podem não ser mantidas.

O que acontece se você mover um grupo sincronizado para outra conta no painel de administração?

Ao mover um grupo no painel de administração, você será questionado se deseja adicionar os usuários à nova conta ou removê-los do grupo.

Se você selecionar Adicionar, eles serão adicionados normalmente e continuarão sendo sincronizados com o grupo na nova conta.
Se você escolher Remover, os resultados podem variar dependendo do seu provedor. Por exemplo, a Entra pode continuar a considerar os utilizadores como membros do grupo e, portanto, não os adicionar novamente.

Nota importante

Observe que o SCIM não pode remover usuários da conta principal ou secundária anterior. A sincronização adicionará apenas usuários à nova conta. Caso seja necessário remover usuários de suas contas principais ou secundárias anteriores, isso precisará ser feito manualmente.

O que acontece com um usuário se o grupo sincronizado for excluído?

Se o grupo for excluído no Entra:

Se o usuário estiver sincronizado via Entra e for membro apenas desse grupo, ele será excluído.
Se o usuário estiver sincronizado via Entra e for membro de vários grupos, ele permanecerá nos grupos restantes.

Se o grupo for excluído no painel de administração:

A sincronização SCIM apresentará erro, pois não existe mais um grupo correspondente no CoSafe.
Os usuários permanecerão na conta à qual os grupos pertenciam.

Perguntas para solução de problemas

Os usuários não estão sincronizando. O que devo verificar?

Etapas comuns de solução de problemas:

Verificar credenciais da API:
- Verifique se a chave da API está correta e ativa
- Confirme o formato da URL base do SCIM
- Teste a conexão por meio da configuração de integração do seu provedor de identidade. Normalmente, nas configurações de integração/credenciais, após os campos base-url e access-key/token, há um botão "Testar", "Conectar" ou "Testar conexão".
Verifique a configuração do provedor de identidade:
- Verifique se o provisionamento está habilitado
- Confirme se os mapeamentos de atributos estão corretos
- Confirme se grupos e/ou usuários estão atribuídos à integração SCIM

Por que alguns atributos do usuário não estão sincronizando?

Possíveis causas:

Mapeamento de atributos ausente: Verifique a configuração do seu provedor de identidade
Atributos não suportados: Verifique se os atributos são suportados pelo Cosafe SCIM e estão mapeados corretamente na configuração do seu provedor de identidade
Problemas com o formato dos dados: Certifique-se de que os formatos dos dados correspondam aos padrões SCIM esperados

Mais detalhes sobre mapeamento e requisitos de formato estão em Configuração de mapeamento de atributos

Como lidar com problemas de atribuição de grupos?

Para problemas de atribuição de grupo:

Verificar mapeamento de grupo: Verifique se os grupos de provedores de identidade mapeiam para IDs de grupo Cosafe válidos
Verificar permissões de grupo: Certifique-se de que os grupos existam e sejam acessíveis no Cosafe
Revise as regras de atributo: Confirme a atribuição de grupo no seu provedor de identidade

Perguntas de implementação

Posso migrar usuários existentes para o gerenciamento do SCIM?

Sim, usuários existentes podem ser migrados para o gerenciamento do SCIM.

Precisa de mais ajuda?

Se você tiver dúvidas não abordadas nesta FAQ, envie um e-mail para nossa equipe de suporte em support@cosafe.com

Perguntas gerais​

O que é SCIM e por que devo usá-lo?​

Quais provedores de identidade são suportados?​

Perguntas técnicas​

Qual versão do SCIM o Cosafe suporta?​

O que acontece se minha chave de API for comprometida?​

Perguntas sobre gerenciamento de usuários e grupos​

Quais informações do usuário são sincronizadas?​

Quais informações do grupo são sincronizadas?​

Posso usar o mesmo ID de grupo para vários grupos no Cosafe?​

Posso excluir determinados usuários ou grupos da sincronização SCIM?​

Como funcionam os convites para o Cosafe com usuários criados pelo SCIM?​

O que acontece se atingirmos o limite de licenças ao sincronizar usuários?​

O que acontece quando um usuário é excluído no meu provedor de identidade?​

Posso substituir manualmente dados gerenciados pelo SCIM?​

Ainda posso criar usuários manualmente se tiver habilitado o SCIM?​

O que acontece se um usuário sincronizado, que foi adicionado manualmente a grupos gerenciados manualmente, for removido do seu grupo sincronizado?​

Posso sincronizar um usuário com um grupo que, de outra forma, seria gerenciado manualmente?​

Posso adicionar um usuário criado manualmente a um grupo sincronizado?​

O que acontece se você mover um grupo sincronizado para outra conta no painel de administração?​

O que acontece com um usuário se o grupo sincronizado for excluído?​

Perguntas para solução de problemas​

Os usuários não estão sincronizando. O que devo verificar?​

Por que alguns atributos do usuário não estão sincronizando?​

Como lidar com problemas de atribuição de grupos?​

Perguntas de implementação​

Posso migrar usuários existentes para o gerenciamento do SCIM?​

Precisa de mais ajuda?​