SCIM
La integración SCIM permite que cualquier proveedor de identidad compatible con SCIM 2.0 (Okta, Azure AD / Entra, JumpCloud, OneLogin, Google Workspace vía SCIM, etc.) aprovisione usuarios y grupos directamente en Akiles.
A diferencia de las otras integraciones, SCIM es basada en push: tu proveedor de identidad envía cambios de usuarios y grupos a Akiles conforme ocurren. Akiles no consulta ni se conecta de vuelta al IdP — todo se inicia desde el lado del IdP.
Conectar SCIM
- En el panel de administración de Akiles, ve a Integraciones y crea una nueva integración SCIM.
- Después de crearla, dos valores aparecerán en la página de integración:
- Endpoint SCIM — La URL base que tu IdP debe usar (p. ej.
https://integrations.akiles.app/scim/int_xxxxxxx). - Token Bearer — El secreto que tu IdP usa para autenticar sus solicitudes.
- Endpoint SCIM — La URL base que tu IdP debe usar (p. ej.
- Copia ambos valores y pégalos en la configuración SCIM de tu IdP.
Mantén el token Bearer en secreto. Cualquiera que tenga el token puede crear, modificar y eliminar usuarios y grupos en esta integración.
Mapeo de recursos
Akiles expone dos tipos de recursos para una integración SCIM:
- Todos los usuarios — Un recurso sintético que representa cada usuario activo enviado por tu IdP. Úsalo para otorgar un conjunto común de puertas a cada usuario sin necesidad de enviar un grupo desde el IdP.
- Grupos — Cada grupo que tu IdP envía aparece como un recurso separado.
Para cada recurso, puedes asignar un grupo de miembros de Akiles. Esto determina a qué puertas podrán acceder los usuarios en ese grupo. Un usuario puede pertenecer a múltiples grupos, y cada grupo puede mapearse a un grupo de miembros de Akiles diferente.
Los usuarios sin mapeos de recursos coincidentes no serán sincronizados.
Cómo se sincronizan los miembros
Cada usuario activo enviado por tu IdP se convierte en un miembro en Akiles. El nombre y correo electrónico del miembro provienen de los atributos SCIM userName y name.
Los usuarios marcados como inactivos (active: false) por el IdP — por ejemplo, cuando los desactivas en Okta — se omiten y no tendrán acceso en Akiles.
Cuando un usuario se añade o se elimina de un grupo en tu IdP, su acceso en Akiles se actualiza en consecuencia la próxima vez que el IdP envíe el cambio.
Akiles es un receptor SCIM puro. No envía nada de vuelta al IdP — los códigos PIN, Magic Links y cualquier otro estado del lado de Akiles no se reflejan en tu IdP.
Configuración
PIN
Cuando está habilitado, Akiles genera un código PIN aleatorio para cada miembro sincronizado. El PIN se gestiona completamente dentro de Akiles y no se escribe de vuelta al IdP. El usuario puede verlo si inicia sesión en la aplicación de Akiles con su correo electrónico.
Configurar Okta
Para enviar usuarios y grupos desde Okta a Akiles:
1. Añadir la aplicación SCIM
- En Okta, ve a Applications → Applications y haz clic en Browse App Catalog.
- Busca “SCIM 2.0 Test App (OAuth Bearer Token)” y añádela.
- En General Settings:
- Application label:
Akiles SCIM(o cualquier nombre que prefieras). - Habilita Do not display application icon to users.
- Selecciona Secure Web Authentication.
- Selecciona Administrator sets username and password.
- Establece Application username format a Email.
- Application label:
- Guarda.
2. Configurar la integración de API
- Ve a la pestaña Provisioning y haz clic en Configure API integration.
- Marca Enable API integration.
- Rellena:
- SCIM 2.0 Base Url: pega el endpoint SCIM de la página de integración de Akiles.
- OAuth Bearer Token: pega el token Bearer de la página de integración de Akiles.
- Haz clic en Test API credentials y confirma que no hay errores.
- Haz clic en Save.
3. Habilitar aprovisionamiento de usuarios
En la pestaña Provisioning, junto a Provisioning to App, haz clic en Edit y habilita:
- Create users
- Update user attributes
- Deactivate users
Guarda.
4. Asignar usuarios y grupos
- Ve a la pestaña Assignments y asigna los usuarios de Okta que quieras enviar a Akiles. Puedes elegir enviar usuarios individuales o todos los usuarios en un grupo.
- Ve a la pestaña Push Groups y añade los grupos de Okta que quieras enviar. Sin este paso, Okta enviará los usuarios dentro de los grupos asignados pero no los grupos en sí.
Una vez configurado, Okta enviará usuarios y membresías de grupos a Akiles en tiempo real. Puedes monitorear la actividad de envío desde el Dashboard → Reports → System Log de Okta.
Suspender un usuario en Okta no revoca su acceso a Akiles. Okta trata la suspensión como una acción interna de Okta — bloquea el inicio de sesión en Okta mismo pero no notifica a las aplicaciones SCIM descendentes, por lo que Akiles nunca ve el cambio y el usuario mantiene su acceso.
Para revocar el acceso, desactiva el usuario en Okta en su lugar (o desasígnalo de la aplicación SCIM de Akiles). La desactivación desencadena una actualización SCIM active: false, que Akiles usa para eliminar el acceso del miembro.
Configurar Microsoft Entra
Para enviar usuarios y grupos desde Microsoft Entra (anteriormente Azure AD) a Akiles:
1. Crear la aplicación
- Inicia sesión en el centro de administración de Microsoft Entra como mínimo con el rol Application Administrator.
- Ve a Entra ID → Enterprise apps.
- Haz clic en + New application → + Create your own application.
- Rellena:
- What’s the name of your app?:
Akiles SCIM(o cualquier nombre que prefieras). - What are you looking to do with your application?: selecciona Integrate any other application you don’t find in the gallery (Non-gallery).
- What’s the name of your app?:
- Haz clic en Create.
2. Configurar el aprovisionamiento
- En la pantalla de gestión de la aplicación, selecciona Provisioning en el panel izquierdo.
- Haz clic en + New configuration.
- Rellena:
- Select authentication method: Bearer authentication.
- Tenant URL: pega el endpoint SCIM de la página de integración de Akiles.
- Secret token: pega el token Bearer de la página de integración de Akiles.
- Haz clic en Test connection y confirma que no hay errores.
- Haz clic en Create.
3. Asignar usuarios y grupos
- En la página de la aplicación, ve a Manage → Users and groups.
- Haz clic en Add user / group para añadir los usuarios y grupos que quieras sincronizar.
4. Iniciar el aprovisionamiento
En la vista general de aprovisionamiento de la aplicación, haz clic en Start provisioning.
Una vez configurado, Entra enviará usuarios y membresías de grupos a Akiles automáticamente. Puedes monitorear la actividad de sincronización desde los Provisioning logs en la página de la aplicación.
Entra sincroniza cada 40 minutos, por lo que los cambios en Entra no se reflejarán en Akiles en tiempo real. Esta es una limitación de Entra y no se puede modificar. Para acelerar una sincronización manualmente, usa la opción Provision on demand en la página de aprovisionamiento de la aplicación.