Passar para o conteúdo principal

Sistema para Provisionamento SCIM (System for Cross-domain Identity Management)

Crie e remova colegas usando Okta, OneLogin ou outro provedor de identidade com provisionamento SCIM.

Escrito por Jordan Ross

SCIM ou a especificação System for Cross-domain Identity Management é um protocolo padrão para gerenciar contas em vários serviços: adicionar colegas, alterar suas propriedades, como nome, ou desativar contas para revogar acesso.

Integrar o Intercom com seu provedor de identidade torna o gerenciamento de colegas simples e seguro.

Antes de começar

Importante: Existem vários pré-requisitos para configurar o SCIM:

  • Antes de configurar o SCIM, o SAML SSO deve estar configurado e habilitado no seu workspace.

  • O Provisionamento SCIM está disponível apenas em certos planos do Intercom. Verifique nossos planos e preços para adicionar isso à sua assinatura.

  • Cada workspace do Intercom para o qual você deseja provisionar deve ser configurado como um aplicativo separado no seu Provedor de Identidade.

Como habilitar o SCIM

  1. Vá para Configurações > Workspace > Segurança > Métodos de autenticação.

  2. Certifique-se de que o SAML SSO está habilitado.

  3. Então abra Provisionamento e selecione Habilitar o provisionamento SCIM.

  4. Um Base URL e um API Token ficarão disponíveis após salvar as configurações de segurança.

  5. Copie o Base URL e o API Token e adicione-os à configuração do aplicativo Intercom no seu Provedor de Identidade (por exemplo, Okta, OneLogin, Azure ActiveDirectory).

Configurando as configurações de provisionamento

Após habilitar o SCIM, você deve configurar como novos colegas são provisionados e como colegas que saem são desprovisionados.

Defina assentos e permissões padrão para colegas

Quando um novo colega é criado pelo seu provedor de identidade, o Intercom lhe dá um assento padrão e um conjunto de permissões.

  1. Vá para Configurações > Workspace > Segurança > Métodos de autenticação.

  2. Certifique-se de que o SAML SSO está habilitado.

  3. Abra a seção Provisionamento.

  4. Em "Permissões padrão para colegas" clique em Editar.

  5. Ative o assento e as permissões que os novos colegas devem ter quando forem provisionados.

Configure as configurações de desprovisionamento

Quando colegas são desprovisionados pelo seu IdP, a conta deles será excluída do Intercom. Esta configuração controla para quem os itens atribuídos a eles (conversas, artigos, etc.) serão reatribuídos.

  1. Vá para Configurações > Workspace > Segurança > Métodos de autenticação.

  2. Certifique-se de que o SAML SSO está habilitado.

  3. Abra a seção Provisionamento.

  4. Na seção Desprovisionamento, você pode escolher quem deve receber a propriedade de cada tipo de dado.

    1. Se você escolher a opção Padrão, o Intercom atribuirá os itens ao primeiro colega no workspace. Estes podem ser reatribuídos depois.

    2. Você também pode escolher colegas específicos para serem excluídos do desprovisionamento. Isso pode ajudar sua equipe de TI a manter o acesso ao seu workspace Intercom em caso de má configuração ou emergência.

Como o SCIM gerencia colegas

Uma vez configurado, seu IdP gerenciará seus colegas no Intercom.

Criando colegas

Este é o fluxo típico de provisionamento de usuário:

  • A equipe de TI adiciona um novo colega ao diretório do Provedor de Identidade da empresa.

  • A equipe de TI atribui o aplicativo Intercom ao novo colega na plataforma do IdP.

  • O IdP envia uma requisição HTTP para o Intercom, que cria um novo colega no workspace Intercom.

  • O novo colega recebe automaticamente as permissões e o assento que você configurou em Permissões padrão para colegas.

Nota: Se uma conta de administrador com o mesmo e-mail já existir no Intercom, o SCIM concederá acesso a essa conta existente ao workspace do cliente.

Atualizando colegas

Quando sua equipe de TI altera o nome de um colega no diretório do IdP, o IdP envia uma requisição HTTP para o Intercom para atualizar o nome do colega no Intercom.

Excluindo colegas

Este é o típico Configurações de Desprovisionamento SCIM do usuário.

  • A equipe de TI remove a atribuição do aplicativo Intercom de um colega no IdP.

  • O IdP envia uma requisição HTTP para o Intercom para remover o colega do workspace.

  • O Intercom reatribui automaticamente todos os objetos (conversas, mensagens enviadas, contatos, artigos) atribuídos a esse colega conforme suas configurações de Desprovisionamento de colegas.

Aviso importante de desativação: Colegas no Intercom hoje podem estar em um de dois estados: "ativo" ou "excluído". O Intercom não suporta nenhum estado de exclusão suave, desativado ou arquivado para colegas.

Quando um colega não está ativo no seu provedor de identidade, a conta dele será permanentemente excluída do workspace Intercom. Se o colega tiver acesso a outros workspaces, esse acesso será mantido.

Gerenciando permissões de colegas via SCIM

Você pode enviar seus grupos do provedor de identidade para o Intercom e mapear esses grupos para funções específicas de colegas. Veja nosso artigo sobre atribuição automática de funções de colegas via grupos SCIM para mais detalhes.

Limitações e notas importantes

Limitações conhecidas

Nossa implementação atual do SCIM não suporta:

  • Adicionar um colega a uma equipe ou removê-lo de uma equipe

  • Dar uma função padrão no provisionamento (isso deve ser feito via mapeamento de grupos SCIM)

Notas importantes

Nota:

  • A capacidade de provisionamento do Intercom é construída usando a versão 2.0 do protocolo SCIM.

  • O Intercom considera endereços de e-mail como insensíveis a maiúsculas e minúsculas (por exemplo, "Teammate@example.com" é o mesmo que "teammate@example.com").

  • Se um parâmetro "displayName" for enviado na requisição, ele será usado em vez do parâmetro "name".

Artigos relacionados
Integre com um provedor de identidade e faça login com SAML SSO
Atribua funções de colegas automaticamente com grupos SCIM
Respondeu à sua pergunta?