Skip to main content
Il provisioning SCIM mantiene sincronizzata l’appartenenza al workspace enterprise Base44 con Microsoft Entra ID (precedentemente Azure AD). Crei un’applicazione enterprise separata, la connetti a Base44, mappi i ruoli e attivi la sincronizzazione automatica così i membri vengono aggiunti, aggiornati e rimossi per te. Per permettere al tuo team di accedere, configura separatamente l’SSO per Microsoft Entra ID.
Il provisioning SCIM è disponibile solo sui workspace enterprise. Se non vedi questa opzione, contatta il tuo account team Base44.

Prima di iniziare

Assicurati di avere:
  • Accesso owner o admin al tuo workspace enterprise Base44.
  • Accesso admin al Microsoft Entra admin center.
  • Il tuo SCIM Base URL, presente in Settings > Auth and security.
  • Una Workspace API key, presente in Settings > Secrets.
Base44 Auth and security settings, with the SCIM Provisioning Base URL highlighted

Configurare il provisioning SCIM

Crea un’applicazione enterprise Entra dedicata, connettila a Base44, mappa ruoli e attributi, poi attiva la sincronizzazione automatica.

Passaggio 1: Crea l’app SCIM

Crea un’applicazione enterprise separata, non da galleria, per il provisioning. Per creare l’app SCIM:
  1. Nel Microsoft Entra admin center, vai su Identity > Applications > Enterprise applications.
  2. Clicca New application, poi Create your own application.
  3. Inserisci un nome (per esempio, Base44 SCIM Provisioning) e seleziona Integrate any other application you don’t find in the gallery.
  4. Clicca Create.

Passaggio 2: Collega a Base44

Indica a Entra il tuo workspace Base44 usando lo SCIM Base URL e una Workspace API key. Se non hai ancora una API key, creane una prima. Per creare una Workspace API key:
  1. Nelle Settings del workspace, clicca Secrets.
  2. Clicca Create API Key.
  3. Inserisci un nome (per esempio, Entra SCIM), aggiungi una descrizione opzionale, poi clicca Create Key.
Base44 Create API Key dialog with a name entered
Base44 mostra la chiave completa solo una volta. Copiala prima di chiudere il dialogo e conservala in un posto sicuro, poiché la usi come Secret Token qui sotto.
Base44 API Key Created dialog showing the generated key
Per configurare il provisioning:
  1. Apri l’app e vai su Provisioning, poi clicca Get started.
  2. Imposta Provisioning Mode su Automatic.
  3. Sotto Admin Credentials, imposta:
    • Tenant URL: Il tuo SCIM Base URL con ?aadOptscim062020 aggiunto alla fine. Il risultato è simile a https://app.base44.com/scim/v2/organizations/{{WORKSPACE_ID}}?aadOptscim062020.
    • Secret Token: La tua Workspace API key.
  4. Clicca Test Connection per confermare una connessione riuscita.
  5. Clicca Save.
Prima di continuare, esegui Test Connection e conferma che abbia successo. Un test fallito di solito significa che Tenant URL o Secret Token sono sbagliati.
Entra Provisioning admin credentials showing Provisioning Mode, Tenant URL, and Secret Token
Entra richiede il suffisso ?aadOptscim062020 sul Tenant URL. Senza di esso, il test di connessione o il provisioning possono fallire. Questo suffisso è specifico di Entra, quindi non aggiungerlo per altri identity provider.

Passaggio 3: Mappa externalId

Per default Entra abbina gli utenti su un valore che può cambiare. Mappare externalId a objectId, un identificatore univoco stabile, permette a Base44 di abbinare in modo affidabile ogni utente per aggiornamenti e disattivazione. Per aggiornare la mappatura:
  1. Sotto Mappings, clicca Provision Microsoft Entra ID Users.
  2. Nella tabella di mappatura, trova la riga dove Target attribute è esattamente externalId.
  3. Clicca quella riga e cambia Source attribute in objectId.
  4. Clicca Ok, poi Save.
Entra Edit Attribute panel with the source attribute set to objectId
Dopo il salvataggio, la mappatura aggiornata appare nella tabella degli attributi, con externalId mappato a objectId.
Entra attribute mappings table with externalId mapped to objectId

Passaggio 4: Aggiungi attributi personalizzati

I campi ruolo e limite di crediti di Base44 non sono nell’elenco target di default di Entra, quindi aggiungili prima di poterli mappare. Per aggiungere gli attributi:
  1. Nella schermata di mappatura Provision Microsoft Entra ID Users, scorri in fondo e seleziona Show advanced options.
  2. Clicca Edit attribute list for la tua app.
  3. In fondo all’elenco, aggiungi:
    • Role: urn:base44:params:scim:schemas:extension:user:2.0:role, con Type impostato su String.
    • Credit limit (opzionale): urn:base44:params:scim:schemas:extension:user:2.0:creditLimit, con Type impostato su Integer.
  4. Clicca Save e conferma la modifica.
Entra Edit attribute list with the Base44 role URN added as a String

Passaggio 5: Crea app role

Crei ruoli in App registrations, non in Enterprise applications. Le enterprise applications sono solo dove li assegni. Per creare app role:
  1. Nel Microsoft Entra admin center, vai su App registrations e apri la scheda All applications.
  2. Seleziona la tua app SCIM.
  3. Clicca App roles, poi Create app role.
  4. Crea un ruolo separato per ogni livello di permesso Base44: admin, editor e viewer.
  5. Nel campo Value, digita la stringa esatta in minuscolo che Base44 si aspetta (admin, editor o viewer).
  6. Clicca Apply.
Entra Create app role panel
Crea un ruolo per ogni livello di permesso. Una volta creati, tutti e 3 appaiono nell’elenco App roles dell’app.
Entra App roles list showing the admin, editor, and viewer roles

Passaggio 6: Mappa role e credit limit

Entra memorizza i ruoli come array, ma Base44 si aspetta un singolo valore di testo, quindi il ruolo deve essere mappato con un’espressione piuttosto che una mappatura diretta. Per mappare il ruolo:
  1. Vai su Enterprise applications > la tua app SCIM > Provisioning > Edit attribute mapping > Provision Microsoft Entra ID Users.
  2. Clicca Add New Mapping, o modifica la riga role esistente.
  3. Imposta Mapping type su Expression.
  4. Nel campo Expression, inserisci: SingleAppRoleAssignment([appRoleAssignments])
  5. Imposta Target attribute su urn:base44:params:scim:schemas:extension:user:2.0:role.
  6. Imposta Match objects using this attribute su No e Apply this mapping su Always.
  7. Clicca Ok.
Entra expression mapping for the role field using SingleAppRoleAssignment
Impostare un limite di crediti è opzionale. Senza uno, il membro attinge dal pool di crediti condiviso del workspace senza limite individuale. Aggiungi un limite di crediti solo se vuoi limitare quanti crediti un membro specifico può usare al mese. Per mappare un limite di crediti (opzionale):
  1. Inserisci il valore del limite di crediti nel profilo Entra dell’utente sotto un campo di estensione integrato, per esempio extensionAttribute1.
  2. Clicca Add New Mapping e imposta Mapping type su Direct.
  3. Imposta Source attribute su extensionAttribute1.
  4. Imposta Target attribute su urn:base44:params:scim:schemas:extension:user:2.0:creditLimit.
  5. Clicca Ok, poi Save.

Passaggio 7: Assegna e fai provisioning

Scegli chi fare provisioning, dai loro un ruolo e avvia la sincronizzazione. Per assegnare gli utenti:
  1. Vai su Enterprise applications > la tua app SCIM > Users and groups.
  2. Clicca Add user/group e seleziona gli utenti o gruppi di cui fare provisioning.
  3. Sotto Select a role, scegli il ruolo creato (admin, editor o viewer), poi clicca Assign.
Per attivare il provisioning:
  1. Vai su Provisioning.
  2. Imposta Provisioning Status su On.
Entra inizia a sincronizzare gli utenti assegnati al tuo workspace Base44.
Se il pulsante Edit per un utente è disattivato, seleziona la casella accanto all’utente, clicca Remove, poi aggiungilo di nuovo con il ruolo corretto.

Passaggio 8: Aggiorna gli utenti esistenti

Se hai cambiato la mappatura externalId dopo aver già fatto provisioning di alcuni utenti, aggiorna i loro record così prendono il objectId corretto. Per aggiornare gli utenti esistenti:
  1. Vai su Provisioning > Provision on demand.
  2. Cerca l’utente ed esegui il provisioning per aggiornare il suo record.
  3. Per applicare questo a tutti, torna alla pagina principale Provisioning e clicca Restart provisioning.

Ruoli e limiti di crediti

Base44 accetta solo i seguenti ruoli tramite SCIM. Mappa i tuoi app role Entra a questi valori esatti.
RuoloCosa possono fare
adminGestire membri, fatturazione e impostazioni del workspace
editorCostruire, modificare ed eseguire app; usa crediti dal pool del workspace
viewerAccesso in sola lettura alle app; non consuma crediti
I limiti di crediti si applicano solo ai ruoli admin ed editor, poiché i viewer non consumano crediti. Impostare un limite di crediti di 0 è trattato come nessun limite. Puoi anche impostare limiti di crediti direttamente nel workspace, senza SCIM. Vedi Gestire i membri del workspace enterprise.
Gli owner del workspace non possono essere aggiornati o disattivati tramite SCIM. Promuovi o retrocedi gli owner dalle impostazioni del workspace.

FAQ

Seleziona una domanda qui sotto per saperne di più sul provisioning SCIM Entra.
Sì. Il provisioning SCIM usa un’Enterprise application dedicata, mentre il login usa un’App registration separata. Configura il provisioning sull’enterprise application e imposta il login separatamente. Vedi SSO per Microsoft Entra ID.
Conferma che il tuo Tenant URL termini con ?aadOptscim062020 e che il Secret Token sia la tua Workspace API key da Settings > Secrets. Verifica che lo SCIM Base URL sia stato copiato da Settings > Auth and security e non sia stato modificato.
Entra memorizza i ruoli come array, quindi una mappatura Direct fallisce. Imposta il tipo di mappatura del ruolo su Expression e usa SingleAppRoleAssignment([appRoleAssignments]). Assicurati che il Value di ogni app role sia esattamente admin, editor o viewer in minuscolo.
Aggiungilo prima. Nella schermata di mappatura, seleziona Show advanced options, clicca Edit attribute list, aggiungi l’URN completo (per esempio, urn:base44:params:scim:schemas:extension:user:2.0:role), poi salva. Il campo diventa disponibile nel menu a discesa.
Assicurati che externalId sia mappato a objectId. Se gli utenti sono stati provisionati prima di questo cambio di mappatura, usa Provision on demand per aggiornare ogni utente, o Restart provisioning per aggiornarli tutti.
Questa pagina è stata tradotta utilizzando l’IA. Per informazioni più accurate e aggiornate, consulta la versione inglese.