SCIM o la especificación System for Cross-domain Identity Management es un protocolo estándar para gestionar cuentas en múltiples servicios: agregar compañeros de equipo, cambiar sus propiedades, como el nombre, o desactivar cuentas para revocar el acceso.
Integrar Intercom con tu proveedor de identidad hace que gestionar compañeros de equipo sea simple y seguro.
Antes de comenzar
Importante: Hay varios requisitos previos para configurar SCIM:
Antes de configurar SCIM, SAML SSO debe estar configurado y habilitado en tu espacio de trabajo.
SCIM Provisioning solo está disponible con ciertos planes de Intercom. Consulta nuestros planes y precios para agregar esto a tu suscripción.
Cada espacio de trabajo de Intercom al que quieras provisionar debe configurarse como una aplicación separada en tu Identity Provider.
Cómo habilitar SCIM
Asegúrate de que SAML SSO esté habilitado.
Luego abre Provisioning y selecciona Habilitar SCIM provisioning.
Una Base URL y un API Token estarán disponibles después de guardar la configuración de seguridad.
Copia la Base URL y el API Token y agrégalos a la configuración de la aplicación Intercom en tu Identity Provider (por ejemplo, Okta, OneLogin, Azure ActiveDirectory).
Configurando ajustes de provisioning
Después de habilitar SCIM, debes configurar cómo se provisionan los nuevos compañeros de equipo y cómo se desprovisionan los que se van.
Establecer asientos y permisos predeterminados para compañeros de equipo
Cuando un nuevo compañero de equipo es creado por tu proveedor de identidad, Intercom le asigna un asiento y un conjunto de permisos predeterminados.
Asegúrate de que SAML SSO esté habilitado.
Abre la sección Provisioning.
En "Permisos predeterminados para compañeros de equipo" haz clic en Editar.
Activa el asiento y los permisos que los nuevos compañeros de equipo deben tener cuando se provisionan.
Configurar ajustes de desprovisioning
Cuando los compañeros de equipo son desprovisionados por tu IdP, su cuenta será eliminada de Intercom. Esta configuración controla a quién se reasignan sus elementos asignados (conversaciones, artículos, etc.).
Asegúrate de que SAML SSO esté habilitado.
Abre la sección Provisioning.
En la sección Deprovisioning, puedes elegir quién debe obtener la propiedad de cada tipo de dato.
Si eliges la opción Predeterminada, Intercom asignará los elementos al primer compañero de equipo en el espacio de trabajo. Estos pueden reasignarse más tarde.
También puedes elegir compañeros de equipo específicos para que sean excluidos del desprovisioning. Esto puede ayudar a tu equipo de TI a mantener el acceso a tu espacio de trabajo de Intercom en caso de una mala configuración o emergencia.
Cómo SCIM gestiona a los compañeros de equipo
Una vez configurado, tu IdP gestionará a tus compañeros de equipo en Intercom.
Creando compañeros de equipo
Este es el flujo típico de provisioning de usuarios:
El equipo de TI agrega un nuevo compañero de equipo al directorio del Identity Provider de la empresa.
El equipo de TI asigna la aplicación Intercom al nuevo compañero de equipo en la plataforma del IdP.
El IdP envía una solicitud HTTP a Intercom, que crea un nuevo compañero de equipo en el espacio de trabajo de Intercom.
Al nuevo compañero de equipo se le asignan automáticamente los permisos y el asiento que configuraste en Permisos predeterminados para compañeros de equipo.
Nota: Si ya existe una cuenta de administrador con el mismo correo electrónico en Intercom, SCIM otorgará acceso a esa cuenta existente al espacio de trabajo del cliente.
Actualizando compañeros de equipo
Cuando tu equipo de TI cambia el nombre de un compañero de equipo en el directorio del IdP, el IdP envía una solicitud HTTP a Intercom para actualizar el nombre del compañero de equipo en Intercom.
Eliminando compañeros de equipo
Esta es la típica configuración de SCIM Deprovisioning Settings para usuarios.
El equipo de TI elimina la asignación de la aplicación Intercom a un compañero de equipo en el IdP.
El IdP envía una solicitud HTTP a Intercom para eliminar al compañero de equipo del espacio de trabajo.
Intercom reasigna automáticamente todos los objetos (conversaciones, mensajes salientes, contactos, artículos) asignados a ese compañero de equipo según tus ajustes de Deprovisioning teammates.
Advertencia importante de desactivación: Los compañeros de equipo en Intercom hoy pueden estar en uno de dos estados: "activo" o "eliminado". Intercom no soporta ningún estado de eliminación suave, desactivado o archivado para compañeros de equipo.
Cuando un compañero de equipo no está activo en tu proveedor de identidad, su cuenta será permanentemente eliminada del espacio de trabajo de Intercom. Si el compañero de equipo tiene acceso a otros espacios de trabajo, ese acceso se mantiene.
Gestionando permisos de compañeros de equipo vía SCIM
Puedes enviar tus grupos de proveedor de identidad a Intercom y mapear esos grupos a roles específicos de compañeros de equipo. Consulta nuestro artículo sobre asignación automática de roles de compañeros de equipo mediante grupos SCIM para más detalles.
Limitaciones y notas importantes
Limitaciones conocidas
Nuestra implementación actual de SCIM no soporta:
Agregar un compañero de equipo a un equipo o eliminarlo de un equipo
Asignar un rol predeterminado al provisionar (esto debe hacerse mediante el mapeo de grupos SCIM)
Notas importantes
Nota:
La capacidad de provisioning de Intercom está construida usando la versión 2.0 del protocolo SCIM.
Intercom considera que las direcciones de correo electrónico no distinguen entre mayúsculas y minúsculas (por ejemplo, "Teammate@example.com" es igual que "teammate@example.com").
Si se envía un parámetro "displayName" en la solicitud, se usará en lugar del parámetro "name".