Panoramica
SCIM (System for Cross-domain Identity Management) consente al tuo Identity Provider (IdP) di eseguire automaticamente il provisioning, l'aggiornamento e il deprovisioning degli utenti in Yousign. Una volta configurato, qualsiasi modifica nel ciclo di vita degli utenti nel tuo IdP — nuovi assunti, uscite, cambi di ruolo — viene rispecchiata in Yousign senza intervento manuale.
Cosa gestisce SCIM in Yousign
Provisioning automatico degli utenti aggiunti nel tuo IdP
Disattivazione automatica degli utenti rimossi dal tuo IdP
Sincronizzazione di nomi e ruoli — mantieni i ruoli di Yousign sincronizzati con il tuo IdP
Non è possibile creare/disattivare/eliminare il Proprietario dell'organizzazione Yousign.
Ambito
Ruolo Attributo supportato
Il provisioning basato sui gruppi non è ancora disponibile in questa versione.
Identity Provider supportati
Tutti gli IdP per i quali è disponibile la configurazione SSO e che supportano SCIM.
Prima di iniziare
Prima di configurare SCIM, assicurati di avere:
Il componente aggiuntivo SCIM e SSO attivato sul tuo account
Accesso come amministratore a Yousign
Accesso come amministratore al tuo IdP
Il Single Sign-On (SSO) già configurato e attivo sul tuo account Yousign — SCIM richiede che SSO sia abilitato in precedenza. Consulta la guida alla configurazione SSO se necessario.
Passaggio 1 — Genera le credenziali SCIM in Yousign
Prima di configurare il tuo IdP, devi recuperare l'endpoint SCIM e generare un token API dalla tua area di lavoro Yousign.
Accedi a Yousign come amministratore.
Vai su Impostazioni → Sicurezza di accesso → SCIM.
Fai clic su Attiva.
Tieni presente che tutti gli inviti in sospeso verranno eliminati. Inoltre, potrai gestire solo gli inviti e le informazioni degli utenti (e-mail, nome, nome di battesimo) tramite il tuo IdP fino alla disattivazione di SCIM.
Copia l'URL dell'endpoint SCIM — ne avrai bisogno nella configurazione del tuo IdP.
Fai clic su Genera token per creare un Bearer token.
Copia il token immediatamente — non verrà mostrato di nuovo. Conservalo in un luogo sicuro.
Puoi eliminare il token e rigenerarlo in qualsiasi momento da questa pagina. L'eliminazione del token lo invaliderà e interromperà temporaneamente il provisioning fino a quando non aggiornerai il token nel tuo IdP.
Passaggio 2 — Comprendere i ruoli di Yousign
Yousign utilizza i seguenti ruoli. Il ruolo che assegni nel tuo IdP deve corrispondere esattamente a uno di questi valori (senza distinzione tra maiuscole e minuscole):
Nome del ruolo | Valore dell'attributo IdP | Descrizione |
Admin | admin | Accesso completo alle impostazioni dell'area di lavoro, alla fatturazione e alla gestione degli utenti. |
Membro | member | Utente standard che può inviare e firmare documenti. |
Sintassi API prevista. Nota: i parametri aggiuntivi non sono supportati (ad es. primary non è supportato).
Se non viene fornito alcun ruolo, all'utente verrà assegnato il ruolo di Membro per impostazione predefinita.
Passaggio 3 — Configura il tuo IdP
Cosa ti serve da Yousign
Parametro | Valore / Dove trovarlo |
URL di base SCIM | Impostazioni → Sicurezza di accesso → SCIM → URL dell'endpoint |
Bearer Token | Impostazioni → Sicurezza di accesso → SCIM → Bearer token |
Endpoint SCIM e autenticazione
Impostazione | Valore |
Versione SCIM | SCIM 2.0 |
URL di base | Il tuo URL di base SCIM di Yousign (senza barra finale) |
Metodo di autenticazione | Intestazione HTTP — Bearer token |
Token | Il tuo Bearer token di Yousign |
Azioni di provisioning supportate | Push New Users; Push Profile Updates |
Campo identificatore univoco per gli utenti | Deve essere mappato a un'e-mail immutabile negli attributi del tuo IdP, di solito |
Mappature degli attributi richieste
Attributo SCIM | Valore atteso | Richiesto |
userName | Indirizzo e-mail dell'utente (identificatore univoco immutabile) | Sì |
emails[primary eq true].value | Indirizzo e-mail dell'utente | Sì |
name.givenName | Nome dell'utente | Sì |
name.familyName | Cognome dell'utente | Sì |
active | true / false — controlla l'attivazione e il deprovisioning | Sì |
roles[type eq "role"].value | Uno tra: admin, member | Consigliato |
name.givenName e name.familyName devono rispettare le seguenti limitazioni: max 150 caratteri. I caratteri consentiti sono: lettere, numeri, spazi, apostrofi, trattini, parentesi e lettere accentate. Non può iniziare o terminare con uno spazio e non può contenere 10 cifre consecutive.
Se name.givenName o name.familyName non corrisponde al formato accettato da Yousign, quei campi verranno ignorati durante il provisioning. L'account utente verrà comunque creato correttamente, ma i campi del nome rimarranno vuoti e all'utente verrà chiesto di completarli al primo accesso.
Operazioni SCIM supportate
Operazione | Supportata | Effetto in Yousign |
Crea utente (POST /Users) | Sì | Esegue il provisioning di un nuovo account utente |
Aggiorna utente (PATCH /Users/{id}) | Sì | Aggiorna nome, e-mail o ruolo |
Disattiva utente (PATCH active=false) | Sì | Sospende l'utente |
Elimina utente (DELETE /Users/{id}) | Sì | Elimina l'utente (dati conservati) |
Recupera utente (GET /Users/{id}) | Sì | Utilizzato dall'IdP per verificare l'esistenza |
Elenca utenti (GET /Users) | Sì | Utilizzato dall'IdP per la riconciliazione |
Comportamento al raggiungimento del limite di postazioni
Yousign applica un limite di licenze in base al tuo piano di abbonamento. Quando SCIM tenta di eseguire il provisioning di un nuovo utente e il limite è già stato raggiunto:
L'utente non viene creato — il provisioning per quell'utente è bloccato.
Una notifica via e-mail viene inviata automaticamente ad Amministratori e Proprietari, informandoli che il limite di licenze è stato raggiunto e che il provisioning non ha potuto essere completato.
Il provisioning riprende normalmente una volta acquistate licenze aggiuntive o eseguito il deprovisioning degli utenti esistenti.
Verifica della configurazione
Dopo il primo ciclo di provisioning:
Vai su Impostazioni → Utenti.
Conferma che gli utenti con provisioning appaiano con il ruolo corretto.
Controlla i log di provisioning del tuo IdP per eventuali errori o utenti saltati.