> ## Documentation Index
> Fetch the complete documentation index at: https://www.mintlify.com/docs/llms.txt
> Use this file to discover all available pages before exploring further.

# SCIM 预配

> 使用 SCIM 从你的身份提供商为控制台成员进行预配和取消预配。

<Info>
  SCIM 功能适用于[企业套餐](https://mintlify.com/pricing?ref=scim)。
</Info>

SCIM（System for Cross-domain Identity Management，跨域身份管理系统）允许管理员直接从你的身份提供商为 Mintlify 组织的成员进行预配和取消预配。

SCIM 管理谁可以访问你的组织。要控制用户如何登录，请设置 [SSO](/zh/dashboard/sso)。

<div id="enable-scim">
  ## 启用 SCIM
</div>

<Steps>
  <Step title="打开 SCIM 设置">
    在 Mintlify 控制台中，前往 "Identity & access" 页面的 [SCIM](https://app.mintlify.com/settings/organization/scim) 标签页。
  </Step>

  <Step title="开启 SCIM">
    点击 **Configure SCIM**。Mintlify 会生成一个 **SCIM base URL** 和一个 **bearer token**。

    <Warning>
      请妥善保存该 bearer token。Mintlify 只会显示一次，之后无法再次查看。
    </Warning>
  </Step>

  <Step title="将凭据添加到你的身份提供商">
    将 SCIM base URL 和 bearer token 输入到你身份提供商的 SCIM 应用配置中。参见[配置你的身份提供商](#configure-your-identity-provider)以获取针对不同提供商的操作步骤。
  </Step>
</Steps>

<div id="configure-your-identity-provider">
  ## 配置你的身份提供商
</div>

<div id="okta">
  ### Okta
</div>

<Steps>
  <Step title="在 Okta 中添加 SCIM 应用">
    在 Okta 中，进入 **Applications**，点击 **Browse App Catalog** 并搜索 **SCIM 2.0 Test App (Header Auth)**。这是 Okta 针对任何使用 bearer token 进行身份验证的 SCIM 2.0 API 的标准集成。
  </Step>

  <Step title="添加你的 Mintlify 凭据">
    在该应用的 **Provisioning** 设置中，输入 Mintlify 的 SCIM base URL 和 bearer token。token 的格式为 `bearer <token>`。
  </Step>

  <Step title="启用预配操作">
    在 **Provisioning to app** 下，启用你希望 Okta 管理的创建、更新和停用选项。请关闭 **Sync password**，因为 Mintlify 不使用由 Okta 管理的密码。
  </Step>

  <Step title="创建并推送组">
    在 Okta 中，为每一组你希望进行预配的用户使用现有的组或新建组，然后在 **Push groups** 下将这些组推送到 SCIM 应用。

    <Warning>
      组名称区分大小写。你在 Mintlify 中映射的名称必须与 Okta 组名称完全一致。
    </Warning>
  </Step>

  <Step title="分配用户">
    在 **Assignments** 下，将相关的组或单个用户分配给该应用。
  </Step>

  <Step title="将组映射到角色">
    在 Mintlify 控制台中，将每个已推送的组名称映射到控制台角色。参见[将组映射到角色](#map-groups-to-roles)。
  </Step>
</Steps>

对于 Okta 之外的身份提供商，请[联系我们](mailto:support@mintlify.com)以获取设置指导。

<div id="map-groups-to-roles">
  ## 将组映射到角色
</div>

根据用户在身份提供商中的组成员身份为其分配[角色](/zh/dashboard/roles)。

1. 在 Mintlify 控制台中，前往 "Identity & access" 页面的 [SCIM](https://app.mintlify.com/settings/organization/scim) 标签页。
2. 在 "Group-to-role mappings" 部分，点击 **Add mapping**。
3. 输入身份提供商中的组名称，并选择一个角色。

当用户同时属于多个已映射的组时，Mintlify 会为其分配这些组中权限最高的角色。

你可以随时编辑或删除映射。此映射是单向的，只会控制某个组在 Mintlify 中获得的角色。例如，如果你将身份提供商中的 `developers` 组映射为编辑者（editor）角色，之后又将该映射更改为查看者（viewer），那么 `developers` 组的新成员将成为 Mintlify 中的查看者，但 `developers` 组本身在你的身份提供商中不会发生变化。

<div id="rotate-the-bearer-token">
  ## 轮换 bearer token
</div>

如果 bearer token 泄露，或作为常规凭据维护的一部分，请轮换该 token。

1. 前往 "Identity & access" 页面的 [SCIM](https://app.mintlify.com/settings/organization/scim) 标签页。
2. 点击 **Rotate token**。
3. 复制新 token 并更新你身份提供商的 SCIM 配置。

<Warning>
  轮换 token 会立即使之前的 token 失效。在你使用新 token 更新身份提供商之前，预配将无法正常工作。
</Warning>

<div id="disable-scim">
  ## 停用 SCIM
</div>

1. 前往 "Identity & access" 页面的 [SCIM](https://app.mintlify.com/settings/organization/scim) 标签页。
2. 关闭 SCIM 开关。

停用 SCIM 会阻止来自你身份提供商的新预配和取消预配事件。现有的控制台成员仍将保留其当前访问权限，直至通过手动或其他方式将其移除。


## Related topics

- [单点登录（SSO）](/docs/zh/dashboard/sso.md)
- [审计日志](/docs/zh/dashboard/audit-logs.md)
