> ## Documentation Index
> Fetch the complete documentation index at: https://docs.base44.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configurare il provisioning SCIM per Microsoft Entra ID

> Sincronizza automaticamente gli utenti Microsoft Entra ID con il tuo workspace enterprise Base44 usando SCIM.

Il provisioning SCIM mantiene sincronizzata l'appartenenza al workspace enterprise Base44 con Microsoft Entra ID (precedentemente Azure AD). Crei un'applicazione enterprise separata, la connetti a Base44, mappi i ruoli e attivi la sincronizzazione automatica così i membri vengono aggiunti, aggiornati e rimossi per te. Per permettere al tuo team di accedere, configura separatamente l'[SSO per Microsoft Entra ID](/Enterprise/Microsoft-Entra-SSO).

<Warning>
  Il provisioning SCIM è disponibile solo sui workspace enterprise. Se non vedi questa opzione, contatta il tuo account team Base44.
</Warning>

***

## Prima di iniziare

Assicurati di avere:

* Accesso owner o admin al tuo workspace enterprise Base44.
* Accesso admin al [Microsoft Entra admin center](https://entra.microsoft.com).
* Il tuo **SCIM Base URL**, presente in **Settings** > **Auth and security**.
* Una **Workspace API key**, presente in **Settings** > **Secrets**.

<Frame caption="Lo SCIM Base URL si trova in Settings > Auth and security">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-entra.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=4a75713038920e61bb9d6f667153ba6a" alt="Base44 Auth and security settings, with the SCIM Provisioning Base URL highlighted" width="1264" height="968" data-path="images/SCIM-entra.png" />
</Frame>

***

## Configurare il provisioning SCIM

Crea un'applicazione enterprise Entra dedicata, connettila a Base44, mappa ruoli e attributi, poi attiva la sincronizzazione automatica.

### Passaggio 1: Crea l'app SCIM

Crea un'applicazione enterprise separata, non da galleria, per il provisioning.

**Per creare l'app SCIM:**

1. Nel Microsoft Entra admin center, vai su **Identity** > **Applications** > **Enterprise applications**.
2. Clicca **New application**, poi **Create your own application**.
3. Inserisci un nome (per esempio, `Base44 SCIM Provisioning`) e seleziona **Integrate any other application you don't find in the gallery**.
4. Clicca **Create**.

### Passaggio 2: Collega a Base44

Indica a Entra il tuo workspace Base44 usando lo SCIM Base URL e una Workspace API key. Se non hai ancora una API key, creane una prima.

**Per creare una Workspace API key:**

1. Nelle **Settings** del workspace, clicca **Secrets**.
2. Clicca **Create API Key**.
3. Inserisci un nome (per esempio, `Entra SCIM`), aggiungi una descrizione opzionale, poi clicca **Create Key**.

<Frame caption="Nominare la nuova API key in Settings > Secrets">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-API-Key.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=a0b4d6721d54fa6162e9edc7575b468c" alt="Base44 Create API Key dialog with a name entered" width="1813" height="948" data-path="images/SCIM-API-Key.png" />
</Frame>

Base44 mostra la chiave completa solo una volta. Copiala prima di chiudere il dialogo e conservala in un posto sicuro, poiché la usi come **Secret Token** qui sotto.

<Frame caption="Copia la chiave mentre viene mostrata. Non puoi vederla di nuovo dopo aver chiuso il dialogo.">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-new-api-key.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=1dbb003d20da92d195b3d9069b1b34b5" alt="Base44 API Key Created dialog showing the generated key" width="1777" height="937" data-path="images/SCIM-new-api-key.png" />
</Frame>

**Per configurare il provisioning:**

1. Apri l'app e vai su **Provisioning**, poi clicca **Get started**.
2. Imposta **Provisioning Mode** su **Automatic**.
3. Sotto **Admin Credentials**, imposta:
   * **Tenant URL:** Il tuo SCIM Base URL con `?aadOptscim062020` aggiunto alla fine. Il risultato è simile a `https://app.base44.com/scim/v2/organizations/{{WORKSPACE_ID}}?aadOptscim062020`.
   * **Secret Token:** La tua Workspace API key.
4. Clicca **Test Connection** per confermare una connessione riuscita.
5. Clicca **Save**.

<Tip>
  Prima di continuare, esegui **Test Connection** e conferma che abbia successo. Un test fallito di solito significa che Tenant URL o Secret Token sono sbagliati.
</Tip>

<Frame caption="Impostazione di Tenant URL e Secret Token nella schermata Provisioning di Entra">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/Entra-provisioning.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=2bde8648cd62a7f3ddc66ccb62d779d7" alt="Entra Provisioning admin credentials showing Provisioning Mode, Tenant URL, and Secret Token" width="1644" height="1059" data-path="images/Entra-provisioning.png" />
</Frame>

<Warning>
  Entra richiede il suffisso `?aadOptscim062020` sul Tenant URL. Senza di esso, il test di connessione o il provisioning possono fallire. Questo suffisso è specifico di Entra, quindi non aggiungerlo per altri identity provider.
</Warning>

### Passaggio 3: Mappa externalId

Per default Entra abbina gli utenti su un valore che può cambiare. Mappare `externalId` a `objectId`, un identificatore univoco stabile, permette a Base44 di abbinare in modo affidabile ogni utente per aggiornamenti e disattivazione.

**Per aggiornare la mappatura:**

1. Sotto **Mappings**, clicca **Provision Microsoft Entra ID Users**.
2. Nella tabella di mappatura, trova la riga dove **Target attribute** è esattamente `externalId`.
3. Clicca quella riga e cambia **Source attribute** in `objectId`.
4. Clicca **Ok**, poi **Save**.

<Frame caption="Selezione di objectId come attributo sorgente per externalId">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/Entra-edit-attribute.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=c8406da7373aef1680268d0d5227703c" alt="Entra Edit Attribute panel with the source attribute set to objectId" width="1306" height="1073" data-path="images/Entra-edit-attribute.png" />
</Frame>

Dopo il salvataggio, la mappatura aggiornata appare nella tabella degli attributi, con `externalId` mappato a `objectId`.

<Frame caption="externalId mappato a objectId nella schermata Provision Microsoft Entra ID Users">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/Configuring-the-SCIM-Connection.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=62cf0e7255b82d516c93cb0ae6506b2c" alt="Entra attribute mappings table with externalId mapped to objectId" width="1623" height="824" data-path="images/Configuring-the-SCIM-Connection.png" />
</Frame>

### Passaggio 4: Aggiungi attributi personalizzati

I campi ruolo e limite di crediti di Base44 non sono nell'elenco target di default di Entra, quindi aggiungili prima di poterli mappare.

**Per aggiungere gli attributi:**

1. Nella schermata di mappatura **Provision Microsoft Entra ID Users**, scorri in fondo e seleziona **Show advanced options**.
2. Clicca **Edit attribute list for** la tua app.
3. In fondo all'elenco, aggiungi:
   * **Role:** `urn:base44:params:scim:schemas:extension:user:2.0:role`, con **Type** impostato su `String`.
   * **Credit limit (opzionale):** `urn:base44:params:scim:schemas:extension:user:2.0:creditLimit`, con **Type** impostato su `Integer`.
4. Clicca **Save** e conferma la modifica.

<Frame caption="Aggiungere l'attributo role Base44 nell'Edit attribute list">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-edit-list.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=0f39296fe43cb64489a0163d2408dc03" alt="Entra Edit attribute list with the Base44 role URN added as a String" width="1639" height="957" data-path="images/SCIM-edit-list.png" />
</Frame>

### Passaggio 5: Crea app role

Crei ruoli in **App registrations**, non in **Enterprise applications**. Le enterprise applications sono solo dove li assegni.

**Per creare app role:**

1. Nel Microsoft Entra admin center, vai su **App registrations** e apri la scheda **All applications**.
2. Seleziona la tua app SCIM.
3. Clicca **App roles**, poi **Create app role**.
4. Crea un ruolo separato per ogni livello di permesso Base44: `admin`, `editor` e `viewer`.
5. Nel campo **Value**, digita la stringa esatta in minuscolo che Base44 si aspetta (`admin`, `editor` o `viewer`).
6. Clicca **Apply**.

<Frame caption="Creare un app role per un livello di permesso Base44">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/create-app-role.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=de9d39f98226c84df4992bdc72fa5d16" alt="Entra Create app role panel" width="574" height="621" data-path="images/create-app-role.png" />
</Frame>

Crea un ruolo per ogni livello di permesso. Una volta creati, tutti e 3 appaiono nell'elenco **App roles** dell'app.

<Frame caption="I ruoli admin, editor e viewer in Entra">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-app-roles.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=e7c00dfa3ed50db30d624028876fbf66" alt="Entra App roles list showing the admin, editor, and viewer roles" width="1291" height="706" data-path="images/SCIM-app-roles.png" />
</Frame>

### Passaggio 6: Mappa role e credit limit

Entra memorizza i ruoli come array, ma Base44 si aspetta un singolo valore di testo, quindi il ruolo deve essere mappato con un'espressione piuttosto che una mappatura diretta.

**Per mappare il ruolo:**

1. Vai su **Enterprise applications** > la tua app SCIM > **Provisioning** > **Edit attribute mapping** > **Provision Microsoft Entra ID Users**.
2. Clicca **Add New Mapping**, o modifica la riga role esistente.
3. Imposta **Mapping type** su **Expression**.
4. Nel campo **Expression**, inserisci: `SingleAppRoleAssignment([appRoleAssignments])`
5. Imposta **Target attribute** su `urn:base44:params:scim:schemas:extension:user:2.0:role`.
6. Imposta **Match objects using this attribute** su **No** e **Apply this mapping** su **Always**.
7. Clicca **Ok**.

<Frame caption="Mappare il ruolo con l'espressione SingleAppRoleAssignment">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-mapping-role-field.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=bea562304a4babea4a11992f1bf1cb85" alt="Entra expression mapping for the role field using SingleAppRoleAssignment" width="792" height="741" data-path="images/SCIM-mapping-role-field.png" />
</Frame>

Impostare un limite di crediti è opzionale. Senza uno, il membro attinge dal pool di crediti condiviso del workspace senza limite individuale. Aggiungi un limite di crediti solo se vuoi limitare quanti crediti un membro specifico può usare al mese.

**Per mappare un limite di crediti (opzionale):**

1. Inserisci il valore del limite di crediti nel profilo Entra dell'utente sotto un campo di estensione integrato, per esempio `extensionAttribute1`.
2. Clicca **Add New Mapping** e imposta **Mapping type** su **Direct**.
3. Imposta **Source attribute** su `extensionAttribute1`.
4. Imposta **Target attribute** su `urn:base44:params:scim:schemas:extension:user:2.0:creditLimit`.
5. Clicca **Ok**, poi **Save**.

### Passaggio 7: Assegna e fai provisioning

Scegli chi fare provisioning, dai loro un ruolo e avvia la sincronizzazione.

**Per assegnare gli utenti:**

1. Vai su **Enterprise applications** > la tua app SCIM > **Users and groups**.
2. Clicca **Add user/group** e seleziona gli utenti o gruppi di cui fare provisioning.
3. Sotto **Select a role**, scegli il ruolo creato (`admin`, `editor` o `viewer`), poi clicca **Assign**.

**Per attivare il provisioning:**

1. Vai su **Provisioning**.
2. Imposta **Provisioning Status** su **On**.

Entra inizia a sincronizzare gli utenti assegnati al tuo workspace Base44.

<Note>
  Se il pulsante **Edit** per un utente è disattivato, seleziona la casella accanto all'utente, clicca **Remove**, poi aggiungilo di nuovo con il ruolo corretto.
</Note>

### Passaggio 8: Aggiorna gli utenti esistenti

Se hai cambiato la mappatura `externalId` dopo aver già fatto provisioning di alcuni utenti, aggiorna i loro record così prendono il `objectId` corretto.

**Per aggiornare gli utenti esistenti:**

1. Vai su **Provisioning** > **Provision on demand**.
2. Cerca l'utente ed esegui il provisioning per aggiornare il suo record.
3. Per applicare questo a tutti, torna alla pagina principale **Provisioning** e clicca **Restart provisioning**.

***

## Ruoli e limiti di crediti

Base44 accetta solo i seguenti ruoli tramite SCIM. Mappa i tuoi app role Entra a questi valori esatti.

| Ruolo    | Cosa possono fare                                                         |
| -------- | ------------------------------------------------------------------------- |
| `admin`  | Gestire membri, fatturazione e impostazioni del workspace                 |
| `editor` | Costruire, modificare ed eseguire app; usa crediti dal pool del workspace |
| `viewer` | Accesso in sola lettura alle app; non consuma crediti                     |

I limiti di crediti si applicano solo ai ruoli `admin` ed `editor`, poiché i viewer non consumano crediti. Impostare un limite di crediti di `0` è trattato come nessun limite. Puoi anche impostare limiti di crediti direttamente nel workspace, senza SCIM. Vedi [Gestire i membri del workspace enterprise](/Enterprise/managing-enterprise-members#per-member-credit-limits).

<Note>
  Gli owner del workspace non possono essere aggiornati o disattivati tramite SCIM. Promuovi o retrocedi gli owner dalle impostazioni del workspace.
</Note>

***

## FAQ

Seleziona una domanda qui sotto per saperne di più sul provisioning SCIM Entra.

<AccordionGroup>
  <Accordion title="Ho bisogno di app Entra separate per SSO e SCIM?">
    Sì. Il provisioning SCIM usa un'**Enterprise application** dedicata, mentre il login usa un'**App registration** separata. Configura il provisioning sull'enterprise application e imposta il login separatamente. Vedi [SSO per Microsoft Entra ID](/Enterprise/Microsoft-Entra-SSO).
  </Accordion>

  <Accordion title="Perché il test di connessione SCIM fallisce?">
    Conferma che il tuo Tenant URL termini con `?aadOptscim062020` e che il Secret Token sia la tua Workspace API key da **Settings** > **Secrets**. Verifica che lo SCIM Base URL sia stato copiato da **Settings** > **Auth and security** e non sia stato modificato.
  </Accordion>

  <Accordion title="Perché il ruolo non si sincronizza o il provisioning fallisce sul campo role?">
    Entra memorizza i ruoli come array, quindi una mappatura **Direct** fallisce. Imposta il tipo di mappatura del ruolo su **Expression** e usa `SingleAppRoleAssignment([appRoleAssignments])`. Assicurati che il **Value** di ogni app role sia esattamente `admin`, `editor` o `viewer` in minuscolo.
  </Accordion>

  <Accordion title="Perché il mio attributo personalizzato Base44 non è nel menu a discesa Target attribute?">
    Aggiungilo prima. Nella schermata di mappatura, seleziona **Show advanced options**, clicca **Edit attribute list**, aggiungi l'URN completo (per esempio, `urn:base44:params:scim:schemas:extension:user:2.0:role`), poi salva. Il campo diventa disponibile nel menu a discesa.
  </Accordion>

  <Accordion title="Perché gli utenti vengono aggiornati al record sbagliato dopo il ri-provisioning?">
    Assicurati che `externalId` sia mappato a `objectId`. Se gli utenti sono stati provisionati prima di questo cambio di mappatura, usa **Provision on demand** per aggiornare ogni utente, o **Restart provisioning** per aggiornarli tutti.
  </Accordion>
</AccordionGroup>

<Note>Questa pagina è stata tradotta utilizzando l'IA. Per informazioni più accurate e aggiornate, consulta la [versione inglese](/). </Note>
