swopi.

SCIM 2.0 provisioning — Microsoft Entra ID

Swopi podporuje automatizovaný provisioning a deprovisioning uživatelů standardem SCIM 2.0 (RFC 7643/7644). Entra ID samo — bez zásahu administrátora Swopi — zakládá nové členy, propisuje změny atributů a deaktivuje odcházející zaměstnance.

Přehled
Protokol SCIM 2.0 (push z Entra ID na endpoint Swopi)
Endpoint https://dashboard-doména/api/scim/v2 (zobrazí dashboard)
Autorizace Bearer token organizace (rotovatelný, ukládá se pouze otisk)
Podporované zdroje Users (Create / Read / Update / Patch / Deactivate)
Interval Řízeno Entra ID (standardně ~40 minut)

Mapování atributů

SCIM atribut Swopi
userName Přihlašovací e-mail
displayName / name.formatted Jméno (propisuje se i na vizitku)
title Pozice
phoneNumbers[work] Telefon
externalId Interní vazba na objekt v Entra ID
active Aktivace / deaktivace člena

Nastavení (administrátor zákazníka)

  1. Swopi dashboard → Integrace → SCIM 2.0 provisioningVygenerovat token. Zkopírujte Tenant URL a Secret token (token se zobrazuje pouze jednou).
  2. Azure Portal → Microsoft Entra ID → Enterprise applications → aplikace Swopi → Provisioning → New configuration:
    • Tenant URL = endpoint ze Swopi,
    • Secret Token = vygenerovaný token,
    • Test Connection → uložit.
  3. Users and groups → přiřaďte skupiny určené k provisioningu.
  4. Provisioning Status = On.

Chování

  • Nový člen — v Swopi vznikne účet zařazený do vaší organizace a rovnou se mu založí digitální vizitka (předvyplněná jménem; QR kód se generuje automaticky). Správci tým nemusí vizitky zakládat ručně.
  • Změna atributů (povýšení, nové telefonní číslo…) — propíše se do Swopi při nejbližším provisioning cyklu.
  • Deaktivace / odebrání ze skupiny — účet se zablokuje (nelze se přihlásit) a vizitky se deaktivují. Data se nevratně nemažou; reaktivace v Entra ID člena plně obnoví.
  • Role (Admin / Manažer / Uživatel) se nadále řídí členstvím v SSO skupinách při přihlášení — viz SSO příručka.

Bezpečnost

  • Token se v Swopi ukládá pouze jako SHA-256 otisk; plaintext vidí administrátor jednou při vygenerování.
  • Token lze kdykoliv rotovat (starý okamžitě přestává platit) nebo provisioning úplně vypnout.
  • Endpoint přijímá výhradně požadavky s platným tokenem vaší organizace; účty patřící jiné organizaci nelze tímto kanálem měnit.

Kontakt pro integraci: support@swopi.co