Enterprise
Provisioning SCIM dari identity provider Anda
Karyawan baru, yang berpindah, dan yang keluar mengalir dari IdP Anda secara otomatis — tanpa admin akun manual, tanpa akses terlantar yang menunggu menjadi temuan audit.
Provisioning SCIM menghubungkan Ciao ke identity provider Anda sehingga akun pengguna dibuat, diperbarui, dan dinonaktifkan secara otomatis seiring perubahan direktori Anda. Berbeda dari administrasi akun manual, SCIM menghilangkan langkah manusia di mana offboarding biasa gagal: ketika seorang pengguna dinonaktifkan di IdP Anda, perubahannya menyebar ke Ciao, dan aksi admin di sekitarnya tercatat dalam jejak audit append-only yang bisa diperiksa peninjau Anda.
Dipublikasikan 2026-07-03 · Terakhir diperbarui 2026-07-03
Akun terlantar adalah temuan audit yang menunggu terjadi
Setiap tinjauan akses menemukannya: akun milik orang yang berganti peran atau keluar berbulan-bulan lalu, masih aktif karena deprovisioning bergantung pada tiket yang tidak pernah diajukan seseorang. Di sebagian besar alat SaaS itu adalah masalah eksposur. Di platform di mana pengguna yang masuk bisa mem-prompt perubahan pada software produksi, itu juga masalah kontrol perubahan — sebuah akun yang tidak dimiliki siapa pun, dengan kemampuan mengusulkan perubahan pada sistem yang dijalankan bisnis Anda.
SCIM ada untuk menghilangkan langkah manual itu. Identity provider Anda sudah menjadi sumber kebenaran tentang siapa yang bekerja di sini dan grup mana yang mereka ikuti; SCIM menjadikan Ciao pelanggan dari kebenaran itu, bukan daftar terpisah yang harus diingat administrator untuk direkonsiliasi.
Para auditor telah menyatu pada pandangan yang sama: tinjauan akses yang bergantung pada rekonsiliasi manual mengumpulkan temuan, dan otomatisasi siklus hidup adalah perbaikan yang diterima. Jika organisasi Anda sudah menjalankan SCIM untuk sistem penting lainnya, memperluasnya ke platform yang membangun dan men-deploy software adalah langkah yang konsisten — dan jika Ciao akan menjadi integrasi SCIM pertama Anda, langkah rollout di bawah sengaja dibuat konservatif.
Apa yang dicakup provisioning SCIM
Cakupannya membentang di seluruh event siklus hidup yang benar-benar diuji tinjauan akses Anda:
- Pembuatan akun — Pengguna yang ditetapkan ke Ciao di IdP Anda mendapat akun yang di-provision secara otomatis — tanpa antrean permintaan, tanpa pembuatan manual.
- Pembaruan atribut — Perubahan nama dan profil mengalir dari direktori, sehingga catatan akun mengikuti orangnya tanpa intervensi admin.
- Pemetaan grup ke peran — Grup IdP bisa dipetakan ke peran Ciao, sehingga kontrol akses berbasis peran digerakkan oleh struktur direktori yang sudah dikelola tim Anda.
- Penonaktifan — Ketika IdP Anda menonaktifkan seorang pengguna, akses Ciao mereka dihapus sebagai bagian dari alur siklus hidup — langkah yang paling sering terlewat oleh offboarding manual.
- Catatan audit — Perubahan provisioning adalah aksi admin, dan aksi admin dicatat dalam jejak audit append-only bersama prompt, merge, dan deploy.
Bagaimana sebuah rollout bekerja
1. Mulai dari SSO
SCIM mengasumsikan SSO via SAML atau OIDC sudah terpasang, sehingga autentikasi dan provisioning berbagi satu sumber identitas.
2. Hubungkan IdP-nya
Konfigurasikan integrasi SCIM di identity provider Anda selama onboarding, dengan tim enterprise bekerja bersama engineer identitas Anda.
3. Petakan grup ke peran
Putuskan grup IdP mana yang sesuai dengan peran Ciao dan cakupan proyek mana, dan catat pemetaannya — itu menjadi bagian dari dokumentasi kontrol akses Anda.
4. Pilot dengan satu grup
Tetapkan grup kecil, lalu verifikasi event pembuatan, pembaruan, dan penonaktifan mendarat sesuai harapan sebelum memperluas. Sertakan setidaknya satu penonaktifan dalam pilot — itu adalah event yang paling penting dan paling sering dilupakan tim untuk diuji.
5. Verifikasi di jejak audit
Konfirmasi event provisioning muncul sebagai aksi admin di jejak append-only, sehingga tinjauan akses Anda punya bukti, bukan asumsi.
SCIM, SSO, RBAC, dan jejak audit sebagai satu sistem
Keempat kontrol ini dirancang untuk ditinjau bersama. SSO menjawab bagaimana orang mengautentikasi; SCIM menjawab bagaimana akun muncul dan berhenti ada; kontrol akses berbasis peran menjawab apa yang boleh dilakukan orang yang terautentikasi; dan jejak audit append-only mencatat apa yang sebenarnya mereka lakukan — prompt, merge, deploy, dan aksi admin. Seorang peninjau bisa menelusuri satu orang dari grup direktori ke peran Ciao hingga ke aksi tercatat yang spesifik, yang menjadi cerita ketertelusuran yang sebenarnya diminta sebagian besar kerangka kerja kontrol akses.
Dalam praktiknya, kombinasi ini mengubah tekstur sebuah tinjauan akses. Alih-alih mewawancarai administrator tentang apa yang mereka yakini terjadi, peninjau membaca apa yang terjadi: event direktori, peran yang dihasilkan, aksi yang diambil di bawahnya. Waktu tinjauan bergeser dari pengumpulan bukti ke penilaian, yang memang seharusnya begitu.
Event siklus hidup dan efeknya
Gunakan ini sebagai checklist untuk pilot Anda: jalankan setiap event dengan pengguna uji dan verifikasi efeknya.
| Event siklus hidup | Apa yang terjadi di Ciao | Di mana Anda memverifikasinya |
|---|---|---|
| Pengguna ditetapkan di IdP | Akun di-provision dengan peran yang dipetakan | Aksi admin di jejak audit |
| Atribut berubah | Catatan akun diperbarui dari direktori | Detail akun dan jejak audit |
| Keanggotaan grup berubah | Peran dan cakupan yang dipetakan mengikuti direktori | Konfigurasi RBAC dan jejak audit |
| Pengguna dinonaktifkan di IdP | Akses Ciao dihapus melalui alur siklus hidup | Jejak audit dan tinjauan akses |
| Konten workspace | Aplikasi dan kode tetap dimiliki workspace | Ekspor kode tersedia kapan saja |
Catatan verifikasi
Provisioning adalah kontrol yang seharusnya diuji tim Anda, bukan diterima begitu saja. Selama evaluasi, jalankan siklus hidupnya dari awal sampai akhir dengan pengguna uji — tetapkan, perbarui, nonaktifkan — dan saksikan hasilnya di jejak audit. Detail integrasi untuk IdP Anda dibahas selama onboarding, dan security pack, tersedia atas permintaan melalui halaman kontak, mendokumentasikan arsitektur identitas untuk peninjau yang butuh detailnya secara tertulis.
Jika rollout Anda punya batasan yang tidak biasa — akun bersama yang harus dihilangkan, kontraktor di IdP terpisah, migrasi bertahap — tuliskan itu ke tim enterprise sebelum pilot, sehingga konfigurasinya dirancang sesuai realitas Anda, bukan disesuaikan setelahnya.
Pertanyaan yang sering diajukan
Identity provider mana yang bisa menggerakkan provisioning SCIM?
SCIM adalah sebuah standar, dan identity provider yang biasanya dijalankan enterprise — Okta, Microsoft Entra ID, dan sejenisnya — mengimplementasikannya. Konfirmasi IdP dan konfigurasi spesifik Anda dengan tim enterprise selama onboarding.
Apa yang terjadi pada pekerjaan seseorang ketika mereka di-deprovision?
Akses mereka dihapus; pekerjaannya tidak lenyap. Aplikasi dan kode dimiliki oleh workspace, dengan kepemilikan kode 100% dan ekspor ke repo Anda sendiri tersedia kapan saja — meng-offboard seseorang tidak pernah mengandaskan software-nya.
Apakah SCIM menggantikan provisioning just-in-time?
Keduanya menyelesaikan separuh yang berbeda. JIT membuat akun saat login pertama; SCIM mengelola siklus hidup yang berkelanjutan termasuk pembaruan dan penonaktifan. Banyak rollout menggunakan JIT selama pilot dan SCIM untuk deployment penuh.
Apakah aksi provisioning dan deprovisioning dicatat?
Ya. Keduanya adalah aksi admin, dicatat dalam jejak audit append-only bersama prompt, merge, dan deploy — sehingga tinjauan akses bisa mengutip event tercatat, bukan screenshot.
Bagaimana kami memvalidasi SCIM sebelum meluncurkannya ke seluruh perusahaan?
Pilot dengan grup uji: tetapkan, ubah atribut, pindahkan grup, nonaktifkan, dan verifikasi setiap event di jejak audit. Tim enterprise mendukung pilot-nya, dan security pack mendokumentasikan arsitektur identitas yang sedang ditinjau.