简介
SCIM(跨域身份管理系统)是用于管理 Web 上的身份(用户和组)的协议规范。基于SCIM标准协议,企业的身份管理系统,即身份提供商(以下简称IdP)中的身份(用户、用户组及用户和用户组归属关系),可以基于标准协议规范的接口主动同步进云身份中心,也即服务提供商(SP,service provider)。
前置注意事项
- 字段唯一性要求:云身份中心要求用户的用户名、手机号、邮箱、用户组的用户组名在整个云身份中心实例中唯一。请您在IdP配置SCIM属性值映射时,选择具备唯一性的属性进行以上字段的映射。另外,请确保您在SCIM同步映射中,用来映射为"externalId"字段的字段值对于您的IdP用户和IdP用户组而言分别唯一。
- 必传字段:云身份中心要求每个用户必须具备用户名的取值,每个用户组必须具备用户组名的取值。缺少相关取值将导致SCIM同步不成功。
- 多值属性处理:云身份中心的SCIM 不支持多值属性(例如某个用户的多个电子邮件或电话号码)。在同步过程中,如使用 SCIM 将多值属性同步到云身份中心,云身份中心将默认取首位作为属性的取值。为了避免歧义,请尽量确保为每个属性仅传递一个值。
- SCIM同步用户业务限制:使用SCIM同步的用户,将无法进行编辑或删除。如需编辑或删除,需要依赖IdP进行配置,具体实现因情况而异,请咨询相关IdP。当您在云身份中心删除SCIM身份源时,用户可变回可编辑和可删除状态。
- 基于SCIM删除用户常见问题:云身份中心暂未支持用户的禁用/启用状态,部分IdP的删除用户实现为将SP的用户设置为禁用状态。若您的IdP属于此类情况,则在云身份中心,该用户状态暂不会发生变动,用户也依然存在。
- 开始SCIM同步的IdP配置:SCIM 同步和更新间隔由您的IdP控制,您的IdP会主动将IdP中用户/组信息的变更发送到云身份中心,云身份中心的用户和组的数据变动才会发生变更。具体更新频率可咨询您的IdP。