配置 SCIM SOP

本文档用于指导管理员为当前租户启用或检查 SCIM，并完成 token、端点和同步状态的基础核对。

适用场景

• 为当前租户启用或检查 SCIM
• 需要轮换 SCIM Token 或确认同步调用方使用的是最新 token
• 最近同步失败，需要先做租户侧配置核查

前置条件

• 已确认当前租户需要 SCIM 自动化供给
• 已准备调用方信息和字段映射需求
• 已确认当前租户用户来源策略和冲突处理口径

操作入口

• 租户编辑页中的 SCIM Governance
• 需要查看更多供给约束时，参考 租户接入与联调

操作步骤

1. 确认 SCIM 开关与供给范围

• 先核对当前租户是否准备启用 provisioning 和 SCIM

2. 进入 SCIM Governance 视图

• 查看 token 状态、端点路径、最近失败和审计摘要

3. 配置或轮换 token

• 确认调用方拿到最新明文 token，并记录轮换时间

4. 做最小同步验证

• 使用测试对象验证端点可达、过滤可用和对象状态符合预期

配置前确认

• 当前租户是否需要自动化供给，而不是仅靠手工维护用户
• 调用方是否已确认使用 Bearer Token
• 是否已经明确用户来源策略和字段冲突口径

操作步骤

1. 打开租户编辑页中的 SCIM Governance
2. 确认 provisioning 和 SCIM 是否处于启用状态
3. 核对端点：
   • Users：/scim/v2/Users
   • Groups：/scim/v2/Groups
4. 如需新开通或轮换，生成或更新 token，并把最新明文 token 交给调用方
5. 记录 token 轮换时间和责任人
6. 查看最近失败、最近审计和字段冲突提示
7. 用测试对象做一次最小同步验证

当前支持口径提醒

• 常见过滤表达式：eq、ne、co、sw、ew、pr
• 常见用户过滤字段：id、userName、emails.value、email、displayName、externalId、active
• DELETE 当前语义是停用并回收访问，而不是物理删除用户主体
• 对非 Provisioned 来源用户，关键身份字段可能被 mutability 规则拒绝修改

成功判断

• SCIM 状态、token 状态和端点信息正确
• 同步调用方可使用最新 token 成功访问端点
• 最近失败已收敛或已定位到明确原因

失败排查

• 认证失败时，先确认 token 是否已轮换且调用方使用的是最新值
• 对象更新失败时，先区分是字段冲突、来源限制还是租户禁用
• 深入问题继续查看 联邦与同步 和 租户可观测性与健康检查
• 如果同一时间多个租户 SCIM 同时异常，优先升级到平台侧排查

相关文档

• 联邦与同步
• 租户接入与联调
• 租户接手检查清单
• 日常巡检与排障

返回 租户运营配置文档