O provisionamento SCIM está disponível apenas em workspaces enterprise.
- Okta
- Microsoft Entra ID (anteriormente Azure AD)
- IdP personalizado, qualquer provedor de identidade compatível com SCIM 2.0
Antes de começar
Antes de configurar o SCIM, confirme se você tem:- Acesso de proprietário ou admin ao seu workspace Base44
- Uma chave de API do workspace (encontrada em Settings → Secrets)
- Sua URL base SCIM (encontrada em Settings → Auth and security)
Configuração do IdP
Selecione seu provedor de identidade abaixo para obter instruções de configuração passo a passo.- Okta
- Microsoft Entra ID
- IdP personalizado
O Okta é um provedor de identidade baseado em nuvem. Use esta configuração se sua organização gerencia usuários pelo Okta.
Etapa 1: crie um app SCIM no Okta
Apps OIDC do Okta não oferecem suporte direto ao SCIM, então você precisa de um app SCIM separado.Para criar um app SCIM:- No Okta, vá para Applications → Browse App Catalog.
- Pesquise por SCIM 2.0 Test App (Header Auth).
- Clique em Add Integration.
- Nomeie o app (por exemplo,
Base44 - SCIM Provisioning). - Clique em Done.
Etapa 2: conecte o app à Base44
Aponte o Okta para seu workspace Base44 inserindo sua URL base SCIM e a chave de API do workspace.Para configurar a integração de API:- Abra seu novo app SCIM e vá para a aba Provisioning.
- Clique em Configure API Integration.
- Marque Enable API integration.
- Defina SCIM 2.0 Base URL com a URL copiada de Settings → Auth and security no seu workspace Base44.
- Defina API Token com sua chave de API do workspace.
- Clique em Test API Credentials. Você deve ver uma confirmação de sucesso.
- Clique em Save.
Etapa 3: habilite ações de provisionamento
Escolha quais ações o Okta pode realizar nos membros do workspace Base44.Para habilitar o provisionamento:- Na aba Provisioning, clique em To App.
- Habilite:
- Create Users
- Update User Attributes
- Deactivate Users
- Clique em Save.
Etapa 4: configure atributos personalizados
Adicione atributos específicos da Base44 ao seu perfil do Okta e mapeie-os para seu app SCIM.Para adicionar o atributorole:- Vá para Directory → Profile Editor e encontre seu app SCIM.
- Clique em Add Attribute.
- Preencha as configurações:
- Data type: String
- Display name: Role
- Variable name:
role - External name:
role - External namespace:
urn:base44:params:scim:schemas:extension:user:2.0 - Enum: marque Define enumerated list of values e adicione
admin,editor,viewer - Attribute required: No
- Clique em Save.
creditLimit (opcional):Pule isto se você não quer limites de crédito por membro. O padrão é sem limite.- No mesmo Profile Editor, clique em Add Attribute.
- Preencha as configurações:
- Data type: Integer
- Display name: Credit Limit
- Variable name:
creditLimit - External name:
creditLimit - External namespace:
urn:base44:params:scim:schemas:extension:user:2.0 - Attribute required: No
- Clique em Save.
- Vá para seu app SCIM → Provisioning → To App → Attribute Mappings.
- Defina:
userName←user.emailrole←"editor"(ou mapeie a partir do atributo de função do seu IdP)creditLimit← seu valor preferido ou atributo do IdP (se você adicionou)
- Remova quaisquer mapeamentos não suportados (firstName, lastName, displayName).
- Clique em Save.
Etapa 5: teste o provisionamento
Atribua um usuário de teste para confirmar que o provisionamento e a desativação funcionam como esperado.Cada usuário deve ser atribuído tanto ao seu app Base44 SSO quanto ao seu app Base44 SCIM Provisioning no Okta. Atribuir apenas ao SCIM provisiona o usuário, mas ele não conseguirá fazer login via SSO.
- No Okta, vá para Directory → People.
- Clique no seu usuário de teste.
- Vá para a aba Applications.
- Clique em Assign Applications.
- Selecione Base44 - SSO Workspace e Base44 - SCIM Provisioning, depois clique em Assign.
- Defina
rolecomoeditor,adminouviewer. Opcionalmente, definacreditLimit. - Clique em Save and Go Back → Done.
- Verifique os membros do seu workspace Base44 para confirmar que o usuário apareceu.
- Na aba Assignments, clique em Unassign ao lado do usuário de teste.
- Confirme a remoção.
- Verifique se o usuário não aparece mais como membro ativo na Base44.
Gerenciando seus membros
Uma vez que o SCIM esteja configurado, seu IdP lida com as mudanças de associação automaticamente. Veja o que acontece na Base44 para cada ação.Adicionando membros
Quando você atribui um usuário ao seu app SCIM, a Base44 cria automaticamente a associação dele ao workspace. O usuário pode fazer login na Base44 usando SSO assim que for provisionado.Atualizando membros
Quando você atualiza os atributos de um usuário no seu IdP (como sua função ou limite de crédito), a Base44 atualiza a associação dele ao workspace para coincidir.Proprietários do workspace não podem ser atualizados ou desativados via SCIM. Os proprietários devem ser promovidos ou rebaixados diretamente nas configurações do workspace.
Removendo membros
Quando você desatribui um usuário do seu app SCIM, a Base44 o remove do workspace. Sua conta Base44 em toda a plataforma não é excluída, e ele mantém o acesso a qualquer outro workspace ao qual pertença. Se você precisa readicionar um membro removido anteriormente, reatribua-o no seu IdP. A Base44 criará uma nova associação ao workspace.Funções
A Base44 usa funções para controlar o que cada membro pode fazer. Você atribui uma função ao provisionar um usuário via SCIM e pode atualizá-la a qualquer momento.| Função | O que ela pode fazer |
|---|---|
admin | Gerenciar membros, cobrança e configurações do workspace |
editor | Construir, editar e executar apps; usa créditos do pool do workspace |
viewer | Acesso somente leitura a apps; não consome créditos |
As funções
owner, member e guest não podem ser atribuídas via SCIM. Se seu IdP tem grupos mapeados para essas funções, atualize o mapeamento para usar admin, editor ou viewer.Limites de crédito por membro
Você pode opcionalmente limitar quantos créditos um único membro pode usar por mês. DefinacreditLimit como um inteiro positivo para aplicar um limite, ou deixe vazio para nenhum limite.
Os limites de crédito se aplicam apenas às funções admin e editor. Viewers não podem consumir créditos, então definir um limite de crédito em um viewer retorna um erro. Definir creditLimit como 0 é tratado como sem limite.
Você também pode definir limites de crédito diretamente nas configurações do seu workspace sem passar pelo SCIM. Consulte Gerenciando membros do workspace enterprise.
Solução de problemas
Se o provisionamento não está funcionando como esperado, as etapas abaixo cobrem os erros mais comuns e como corrigi-los.O teste de credenciais da API falhou
O teste de credenciais da API falhou
Verifique se sua chave de API do workspace está correta. Verifique se a URL base SCIM foi copiada de Settings → Auth and security e não foi modificada.
Usuário não está sendo provisionado
Usuário não está sendo provisionado
Verifique os logs de provisionamento do seu IdP para ver erros específicos. Confirme se
role está definido como admin, editor ou viewer.Proprietário do workspace não pode ser atualizado ou desativado
Proprietário do workspace não pode ser atualizado ou desativado
Isso é por design. Proprietários do workspace devem ser promovidos ou rebaixados pelo dashboard da Base44. O SCIM não pode modificar associações de proprietário.
Erro de 'cannot set a credit limit for viewers'
Erro de 'cannot set a credit limit for viewers'
creditLimit só pode ser definido em funções admin ou editor. Mude a função para editor ou admin, ou remova o valor de creditLimit.Esta página foi traduzida usando IA. Para informações mais precisas e atualizadas, consulte a versão em inglês.