Saltar al contenido principal

Antes de comenzar

Tu plan de Auth0 o acuerdo personalizado debe incluir Conexiones empresariales para usar esta función. Para obtener más información, consulta la página de precios de Auth0.Postman debe estar instalado en una máquina local para probar tus conexiones SCIM entrantes.
SCIM es un estándar de protocolo y esquema que las organizaciones empresariales usan para aprovisionar, desaprovisionar y administrar información relacionada con la identidad de los usuarios. La funcionalidad SCIM entrante de Auth0 admite integraciones para desarrolladores de SaaS B2B con empresariales. Actualmente, se admiten los siguientes tipos de conexión de Auth0: SAML, OpenID Connect, Okta Workforce Identity y Microsoft Azure AD / Entra ID.
El aprovisionamiento de usuarios de Google Workspace es compatible mediante Directory Sync. Para sincronizar usuarios de Google Workspace con Auth0, consulta Sincronizar usuarios de Google Workspace con Auth0 mediante Directory Sync.

Habilitar SCIM entrante para una conexión empresarial

  1. Abre el Auth0 Dashboard, luego elige el inquilino que quieres configurar.
  2. Ve a Authentication > Enterprise, y luego selecciona SAML, OpenID Connect, Okta Workforce o Microsoft Azure AD.
  3. Elige una conexión existente o crea una nueva con Create Connection.
  4. En la pestaña Provisioning de tu conexión, cambia sincronizar atributos del perfil de usuario al iniciar sesión a Off y Sync user profiles using SCIM a On.
  5. Selecciona la pestaña Setup en Sync user profiles using SCIM para obtener la URL del endpoint de SCIM y los tokens de SCIM necesarios para hacer pruebas con Postman.

Prueba con Postman

Puede descargar la colección de Postman a continuación para probar su configuración de SCIM:
  1. Inicie Postman, luego seleccione File > Import… y arrastre el archivo scim_postman_collection.json al cuadro de diálogo de importación.
  2. Seleccione la colección SCIM 2.0 Tests y luego elija la pestaña Variables.
  3. Copie el valor de SCIM Endpoint URL desde Auth0 Dashboard y péguelo en el campo Current Value junto a la variable SCIM-ENDPOINT-URL.
  4. En Auth0 Dashboard, elija Generate New Token, luego seleccione Generate Token y Copy and Close.
  5. Vuelva a Postman, seleccione la pestaña Authorization y pegue el valor del token en el campo Token.
  6. Seleccione Save.
  7. Ejecute las pruebas en el orden indicado, comenzando con el comando POST y terminando con DELETE. El resultado de cada operación del usuario aparece en Auth0 Dashboard, en User Management > Users y en los registros del inquilino, en Monitoring > Logs.
Para realizar pruebas con Proveedores de identidad específicos, consulte Configurar SCIM entrante para Proveedores de identidad mediante SAML u OpenID.

Operaciones SCIM compatibles

Auth0 admite las siguientes operaciones de SCIM 2.0 para administrar usuarios:
ComandoDescripción
POSTCrea un usuario en Auth0 con atributos del esquema principal de SCIM 2.0 y de la extensión del esquema empresarial, como se describe en RFC7644 Section 3.3.
GETRecupera un usuario que ya se creó en Auth0 mediante su valor user_id en Auth0, como se describe en RFC7644 Section 3.4.1.
PUTReemplaza un usuario en Auth0 con atributos del esquema principal de SCIM 2.0 y de la extensión del esquema empresarial, como se describe en RFC7644 Section 3.5.1.
PATCHActualiza un usuario en Auth0 con atributos del esquema principal de SCIM 2.0 y de la extensión del esquema empresarial, como se describe en RFC7644 Section 3.5.2.
DELETEElimina un usuario en Auth0 mediante su valor user_id en Auth0, como se describe en RFC7644 Section 3.6.
SEARCHBusca un usuario en Auth0 mediante un filtro SCIM, como se describe en RFC7644 Section 3.4.2. Los operadores compatibles son igual a (EQ), y (AND) y o (OR).
PUT (Desactivar)Reemplaza un usuario almacenado en Auth0 y establece el atributo active de SCIM en false, lo que hace que el usuario quede bloqueado en Auth0.
PATCH (Desactivar)Actualiza un usuario almacenado en Auth0 y establece el atributo active de SCIM en false, lo que hace que el usuario quede bloqueado en Auth0.
Auth0 utiliza el esquema principal para recursos de usuario de SCIM 2.0 y el esquema empresarial para recursos de usuario, así como tokens bearer para la autenticación del cliente, a fin de ofrecer una amplia compatibilidad con múltiples proveedores de identidad empresariales.

Endpoints y tokens de SCIM

Cada cliente empresarial obtiene un endpoint y un token de SCIM específicos de la conexión que le permiten aprovisionar, desaprovisionar y administrar las cuentas de usuario almacenadas en el inquilino de Auth0. Los endpoints y tokens se pueden ver y configurar en el , en Authentication > Enterprise > [tipo-de-conexión] > [su-conexión] > Provisioning >  Sync user profiles using SCIM >  Setup.
Captura de pantalla del Dashboard con la configuración de SCIM
La URL del endpoint de SCIM permite que los clientes SCIM administren las cuentas de usuario almacenadas en Auth0 para un Proveedor de identidad determinado. La opción Generate New Token genera hasta dos tokens activos para este endpoint de SCIM, lo que permite actualizar el token que usa el cliente SCIM sin tiempo de inactividad. Los tokens también pueden revocarse en esta pantalla al seleccionar Delete.
Pantalla del Dashboard para la configuración del token de SCIM
Las siguientes opciones de generación de tokens están disponibles:
  • Sin fecha de expiración: Seleccione si el token expira o no.
  • Fecha de expiración en segundos: si el token no tiene fecha de expiración, puede elegir un tiempo de expiración para el token. Cuando el token expire, el endpoint de SCIM devolverá una respuesta de error la próxima vez que se use. El tiempo mínimo de expiración permitido es de 900 segundos.
  • Lista de permisos (alcances): detalla qué operaciones de SCIM se pueden realizar con este token. Los permisos disponibles son:
    • get:users - Permite recuperar y buscar usuarios.
    • post:users - Permite crear usuarios
    • put:users - Permite actualizar usuarios mediante el método PUT.
    • patch:users - Permite actualizar usuarios mediante el método PATCH.
    • delete:users - Permite eliminar usuarios.

Asignación de atributos

Cada nueva conexión usa el mapa de atributos predeterminado disponible en Auth0 Dashboard, en Authentication > Enterprise > [connecton-type] > [your-connection] > Provisioning >  Sync user profiles using SCIM >  Mapping, donde puede editarse y personalizarse según las necesidades de la conexión. Se pueden usar los atributos principales de usuario de SCIM definidos en las secciones 3.1, 4.1 y 4.3 de la RFC 7643.
Notas
Asignación uno a unoUn atributo SCIM seleccionado (o subatributo) solo puede asignarse a un atributo de Auth0.
Asignación de subatributosSe puede hacer referencia a los valores de subatributos dentro de atributos SCIM multivalor, como emails y phoneNumbers, mediante la sintaxis de filtro de SCIM con el operador eq. Consulte los mapas de atributos predeterminados para ver ejemplos.
Atributos no asignablesLos atributos SCIM id y meta no se pueden asignar, ya que Auth0 solo los envía en las respuestas del protocolo SCIM. El valor de id en las respuestas SCIM siempre se establece en el user_id de Auth0, y el atributo SCIM password no puede usarse con conexiones empresariales.
Omisión de atributos SCIMSi un atributo SCIM específico no está configurado para gestionarse en el mapa de atributos, se ignorará en todas las solicitudes y respuestas SCIM.
Estos atributos SCIM pueden asignarse a atributos root y de metadatos en el perfil de usuario.
Notas
Asignación uno a unoUn atributo de Auth0 seleccionado solo puede asignarse a un atributo SCIM.
Asignación de atributos rootAl asignar a atributos root, tenga en cuenta que solo los atributos root enumerados en Atributos del perfil de usuario pueden consultarse mediante una consulta SCIM. Si necesita que se pueda buscar un atributo que no está en esta lista, colóquelo en app_metadata.
Asignación de atributos de metadatosSe permite el uso de user_metadata, pero en general no se recomienda para atributos sincronizados, ya que está pensado para almacenar atributos que el usuario final puede editar directamente. Use app_metadata o atributos root en su lugar.
Comportamiento del atributo blockedLa asignación al atributo blocked de Auth0 tiene un comportamiento especial cuando se asigna al atributo active de SCIM. Cuando active contiene un valor true o false, Auth0 invierte el valor y establece el atributo blocked de Auth0 en false o true, respectivamente.
Auth0 también le permite aprovisionar atributos mediante SCIM en paralelo con los atributos aprovisionados durante el inicio de sesión. Para obtener más información, consulte Sync additional attributes at login a continuación.

Registros y notificaciones salientes

Puede ver todos los detalles de las solicitudes SCIM que recibe Auth0 en la sección Monitoring > Logs del Auth0 Dashboard. Además, puede integrarse con Custom Log Streams para recibir notificaciones cuando se cree, actualice o elimine un usuario mediante SCIM, usando la categoría de filtro del flujo de registros de SCIM.

Revocación de sesiones y cierre de sesión por canal secundario

Cuando Auth0 recibe un mensaje SCIM para desactivar y bloquear a un usuario, finaliza todas las sesiones de Auth0 de ese usuario, revoca los y, si está configurado, activa el cierre de sesión por canal secundario de OpenID Connect para sus aplicaciones.

Pautas de implementación

Aproveche las galerías de integración para agilizar la configuración

Para ofrecer a sus clientes una experiencia adaptada al configurar tanto SCIM como , considere incluir su aplicación en la Okta Integration Network y en otras galerías de integración de Proveedores de identidad para la fuerza laboral con las que planea integrarse.

Pruebe primero SCIM en entornos no productivos

No habilite SCIM en un inquilino de producción de Auth0 sin antes probar exhaustivamente su integración en un inquilino de desarrollo o preproducción de Auth0.

Envíe los tokens SCIM de forma segura

Nunca envíe tokens SCIM en texto sin formato, por correo electrónico ni por canales inseguros. Use un servicio de comunicación seguro, como SendSafely, o integre la consola de autoservicio de su aplicación con la Auth0 Management API para emitir tokens SCIM directamente a sus clientes.

Intercambio de información

Al proporcionar a su cliente un endpoint SCIM de Auth0, este necesitará la siguiente información para poder usarlo correctamente:
  • La URL del endpoint SCIM de la conexión de Auth0
  • El token SCIM necesario para la URL del endpoint SCIM
También se recomienda proporcionar lo siguiente:
  • La lista de atributos SCIM admitidos para la conexión de Auth0, según se haya configurado en su mapa de atributos SCIM
  • Cualquier instrucción adicional necesaria para configurar su cliente SCIM para que funcione con su configuración de SCIM. Para obtener instrucciones de configuración para Okta Workforce y Microsoft Entra ID, consulte Configure Inbound SCIM for proveedores de identidad using SAML or OpenID

Temas avanzados

Sincronizar atributos adicionales al iniciar sesión

Si integra un Proveedor de identidad que no admite el mismo conjunto de atributos de usuario en /OIDC y SCIM, puede acceder a los atributos adicionales habilitando Sincronizar atributos del perfil de usuario al iniciar sesión junto con el aprovisionamiento de SCIM. Cuando Sincronizar atributos del perfil de usuario al iniciar sesión está habilitado, todos los atributos raíz del perfil de usuario se sobrescriben cada vez que un usuario inicia sesión. Para evitar posibles conflictos entre SCIM y la sincronización al iniciar sesión, siga estas pautas:
  • Asegúrese de que los atributos raíz comunes de Auth0, como email y username, estén asignados en su mapa de atributos de SAML o OpenID Connect, si también están presentes en su mapa de atributos de SCIM.
  • En su mapa de atributos de SCIM, asigne todos los demás atributos de SCIM (excepto el atributo active) a valores dentro del atributo app_metadata de Auth0.

Sincronizar roles

Auth0 admite la sincronización del atributo de usuario roles de SCIM 2.0, tal como se define en RFC7643. Para aceptar roles, asegúrate de que el mapa de atributos de SCIM de tu conexión asigne el atributo roles de SCIM a un atributo de usuario de Auth0 como app_metadata.roles. Para obtener más información sobre cómo sincronizar roles específicos de la aplicación desde Okta Workforce Identity, consulta How to Add Multi-value Roles in SCIM Cloud Integration. Para los roles de Microsoft Entra ID, consulta Customize user provisioning attribute-mappings for SaaS applications in Microsoft Entra ID.

Sincronización de grupos

Auth0 no admite un endpoint /groups para aprovisionar objetos de grupo completos y pertenencias a grupos, tal como se define en la sección 3.2 de RFC7644. Sin embargo, si un Proveedor de identidad admite el envío de una lista de grupos mediante SAML o Connect, lea la sección anterior para obtener pautas sobre cómo sincronizar atributos al iniciar sesión.

Organizaciones

Para que los usuarios aprovisionados con SCIM pasen a ser miembros de una Organización, la conexión debe configurarse para Habilitar membresía automática, como se describe en Otorgar membresía Just-In-Time a una conexión de Organización.

Vinculación de cuentas

Al usar la vinculación de cuentas de usuario, la cuenta de usuario aprovisionada mediante SCIM debe configurarse como cuenta de usuario principal. Configurarla como cuenta secundaria cambiará el atributo SCIM id, lo que contraviene la especificación del esquema principal de SCIM 2.0. No se recomienda vincular cuentas de usuario empresariales con cuentas de usuario sociales y personales.

Más información