📖 Indice
Panoramica
System for Cross-domain Identity Management (SCIM) consente al tuo Identity Provider (IdP) di eseguire automaticamente il provisioning, l’aggiornamento e il deprovisioning degli utenti in Yousign.
Una volta completata la configurazione, le modifiche al ciclo di vita degli utenti nel tuo IdP, come l’onboarding di nuovi collaboratori, la disattivazione degli utenti o le modifiche dei ruoli, vengono automaticamente applicate in Yousign.
Cosa gestisce SCIM in Yousign
Provisioning automatico degli utenti quando vengono aggiunti nel tuo IdP
Disattivazione automatica degli utenti quando vengono rimossi dal tuo IdP
Sincronizzazione automatica di nomi e ruoli per mantenere Yousign allineato al tuo IdP
I proprietari dell’organizzazione non possono essere creati, disattivati o eliminati tramite il provisioning SCIM.
Ambito
Attributi sincronizzati supportati:
Ruolo
Il provisioning basato sui gruppi non è attualmente supportato.
Provider di identità supportati
SCIM è supportato con i provider di identità che supportano SCIM 2.0 e che possono essere configurati con il SSO di Yousign.
Prima di iniziare
Prima di configurare SCIM, assicurati di avere:
Il componente aggiuntivo SCIM e SSO attivato sul tuo account
Accesso come amministratore a Yousign
Accesso come amministratore al tuo provider di identità
Single Sign-On (SSO) già configurato e attivo sul tuo account Yousign
SCIM può essere attivato solo dopo aver configurato il SSO.
Passaggio 1: Generare le credenziali SCIM in Yousign
Prima di configurare il tuo provider di identità, recupera l’endpoint SCIM e genera un token da Yousign.
Accedi a Yousign come amministratore.
Vai su Impostazioni → Sicurezza di accesso → SCIM.
Fai clic su Attiva.
L’attivazione di SCIM elimina tutte le invitazioni in sospeso.
Una volta attivato SCIM, le informazioni degli utenti (indirizzo email, nome e cognome) e le invitazioni possono essere gestite solo tramite il tuo provider di identità fino alla disattivazione di SCIM.
Copia l’URL dell’endpoint SCIM.
Fai clic su Genera token.
Copia immediatamente il token e conservalo in un luogo sicuro. Non verrà più mostrato.
Puoi eliminare e rigenerare il token in qualsiasi momento da questa pagina.
L’eliminazione del token lo invalida e interrompe temporaneamente il provisioning finché il nuovo token non viene configurato nel tuo IdP.
Passaggio 2: Comprendere i ruoli Yousign
Il valore del ruolo inviato dal tuo IdP deve corrispondere a uno dei seguenti valori (senza distinzione tra maiuscole e minuscole).
Nome del ruolo | Valore attributo IdP | Descrizione |
Admin | admin | Accesso completo alle impostazioni dello spazio di lavoro, alla fatturazione e alla gestione degli utenti |
Membro | member | Utente standard che può inviare e firmare documenti |
Invia il ruolo utilizzando il seguente formato di attributo SCIM:
"roles": [ { "value": "admin", "type": "role" } ]I parametri aggiuntivi non sono supportati (ad esempio primary).
Se non viene fornito alcun ruolo, l’utente viene provisionato con il ruolo Membro per impostazione predefinita.
Passaggio 3: Configurare il provider di identità
Recuperare i valori da Yousign
Recupera i seguenti valori prima di configurare il provisioning.
Parametro | Dove trovarlo |
URL base SCIM | Impostazioni → Sicurezza di accesso → SCIM → URL endpoint |
Token Bearer | Impostazioni → Sicurezza di accesso → SCIM → Token Bearer |
Configurare endpoint SCIM e autenticazione
Inserisci i seguenti valori nel tuo IdP.
Impostazione | Valore |
Versione SCIM | SCIM 2.0 |
URL base | URL base SCIM Yousign (senza slash finale) |
Metodo di autenticazione | Header HTTP — Token Bearer |
Token | Token Bearer Yousign |
Azioni di provisioning supportate | Push New Users; Push Profile Updates |
Campo identificatore univoco per gli utenti | Mappa verso un attributo email immutabile nel tuo IdP (generalmente |
Configurare le mappature degli attributi richiesti
Mappa gli attributi del tuo IdP ai seguenti attributi SCIM.
Attributo SCIM | Valore previsto | Obbligatorio |
userName | Indirizzo email dell’utente (identificatore univoco immutabile) | Sì |
emails[primary eq true].value | Indirizzo email dell’utente (il dominio email deve essere incluso nei domini SSO autorizzati dell’organizzazione) | Sì |
name.givenName | Nome dell’utente | Sì |
name.familyName | Cognome dell’utente | Sì |
active | true / false — controlla attivazione e deprovisioning | Sì |
roles[type eq "role"].value | Uno dei seguenti valori: admin, member | Consigliato |
⚠️ name.givenName e name.familyName devono rispettare i seguenti limiti:
Massimo 150 caratteri
Caratteri consentiti: lettere, numeri, spazi, apostrofi, trattini, parentesi e lettere accentate
Non possono iniziare o terminare con uno spazio
Non possono contenere 10 cifre consecutive
Se name.givenName o name.familyName non corrispondono al formato accettato da Yousign, questi valori verranno ignorati durante il provisioning.
L’account utente verrà comunque creato correttamente e l’utente dovrà completare le proprie informazioni al primo accesso.
Operazioni SCIM supportate
Abilita queste operazioni nel tuo IdP quando disponibili.
Operazione | Supportata | Effetto in Yousign |
Creare un utente (POST /Users) | Sì | Provisiona un nuovo account utente |
Aggiornare un utente (PATCH /Users/{id}) | Sì | Aggiorna le informazioni utente e il ruolo |
Disattivare un utente (PATCH active=false) | Sì | Sospende l’utente |
Eliminare un utente (DELETE /Users/{id}) | Sì | Disattiva l’account utente (i dati vengono conservati) |
Recuperare un utente (GET /Users/{id}) | Sì | Consente all’IdP di verificare l’esistenza dell’utente |
Elencare gli utenti (GET /Users) | Sì | Utilizzato per la riconciliazione |
Comportamento in caso di limite licenze raggiunto
Yousign applica limiti di licenze in base al tuo abbonamento.
Se SCIM tenta di provisionare un utente quando tutte le licenze sono già utilizzate:
L’utente non viene creato
Gli Admin e i Proprietari ricevono una notifica via email
Il provisioning può riprendere dopo l’acquisto di licenze aggiuntive o il deprovisioning degli utenti e il riavvio del provisioning
Verificare la configurazione
Dopo il primo ciclo di provisioning:
Vai su Impostazioni → Utenti in Yousign.
Verifica che gli utenti vengano visualizzati con il ruolo previsto.
Controlla i log di provisioning nel tuo IdP.
Verifica che gli utenti possano autenticarsi correttamente tramite SSO.