🚀 Launch FAST: use AppMaster ProServices engineers
09 Mar 2025·8 dk okuma

B2B SaaS için SCIM kullanıcı sağlama: erişimi otomatik senkronize edin

SCIM kullanıcı sağlama, SaaS hesaplarını, grupları ve rolleri kurumsal IdP'lerle senkron tutarak manuel yönetimi ve erişim risklerini azaltır.

B2B SaaS için SCIM kullanıcı sağlama: erişimi otomatik senkronize edin

B2B SaaS ekiplerinin SCIM'i başlangıçta ekleme nedenleri

Manuel kullanıcı yönetimi küçük başlar ve sonra sessizce zamanınızı yer. Birisi müşterinin şirketine katılır ve erişime ihtiyaç duyar; bir yönetici davet gönderir. Birinin takımı değişir, destek ekibine “onu doğru gruba taşı” şeklinde bir talep gelir. Birisi ayrılır ve aylar sonra hesabının hâlâ aktif olduğunu fark edersiniz.

Bu tür günlük işler küçük müşteriler için rahatsız edicidir. Kurumsal müşterilerde ise daha çok kişi dahil olduğu ve riskler daha yüksek olduğu için sürekli yükselen destek taleplerine dönüşür. Güvenlik ekipleri erişimin kontrol edildiğini kanıtlamak ister. Denetçiler "kim neye erişti ve ne zaman değişti" diye sorar. BT ekipleri her SaaS aracında ayrı bir kullanıcı dizini olmasını istemez.

SCIM kullanıcı sağlama, uygulamanızın müşteri kimlik sistemini takip etmesini sağlamak için vardır; onla savaşmak için değil. Pratikte “otomatik senkron” genellikle üç anlama gelir:

  • Create: bir kullanıcı IdP'de uygulamanıza atandığında bir hesap oluşturulur (ve sıklıkla doğru gruba yerleştirilir).
  • Update: adları, e-postaları veya departmanları değiştiğinde uygulamanız eşitlenir.
  • Disable: atama kaldırıldığında veya kişi şirketten ayrıldığında erişim hızlıca kaldırılır; manuel bir talep beklenmez.

Büyük kazanım sadece daha az davet değildir. Hataların azalmasıdır. Çoğu “yanlış izin” sorunu, insanların baskı altında birden çok sistemi eşitlemeye çalışırken yaptığı hatalardan doğar.

SCIM sihir değildir. Yalnızca net kurallar tanımlarsanız idari işi azaltır: hangi sistem gerçeğin kaynağıdır, bir kullanıcı yeniden eklendiğinde ne olur ve grup değişiklikleri ürününüzde rollere nasıl eşlenir. SaaS'inizi başlangıçtan itibaren yapılandırılabilir kullanıcı yönetimiyle inşa ederseniz — örneğin AppMaster gibi kod yazmadan (no-code) bir platformda — bu kuralları backend ve yönetici arayüzünde tutarlı şekilde uygulamak ve test etmek çok daha kolay olur.

SCIM temelleri: kullanıcılar, gruplar ve yaşam döngüsü olayları

SCIM (System for Cross-domain Identity Management), kurumsal bir kimlik sisteminin SaaS uygulamanıza kimin hesap sahibi olması gerektiğini, temel profil bilgilerini ve hangi gruplara ait olduklarını söylemesinin standart bir yoludur. Basitçe söylemek gerekirse, SCIM kullanıcı sağlama birçok manuel idari işi tahmin edilebilir, otomatik bir senkronla değiştirir.

Birçok kimlik sağlayıcısının aynı SCIM dilini konuşuyor olması işinize yarar. Her müşterinin kurulumu için özel bir bağlayıcı yazmak yerine standardı bir kez uygulayıp müşteri-özgü eşlemeyi halledebilirsiniz.

Ana SCIM nesneleri

Çoğu uygulama iki nesnenin etrafında döner:

  • Users: bir kişinin kimlik kaydı; ad, e-posta, durum (aktif/pasif) ve bazen departman, maliyet merkezi gibi ekstra öznitelikler.
  • Groups: genellikle ekipleri veya fonksiyonları (Destek, Finans, Taşeronlar) temsil eden kullanıcı koleksiyonları. Gruplar üyeleri içerir ve sıklıkla ürününüzde erişim kararlarını yönlendirir.

SCIM size uygulamanızdaki “rol”ün ne anlama geldiğini söylemez. Öznitelikler ve grup üyeliği taşıyabilir ama her grup veya özniteliğin ne sağladığına ürününüz karar verir.

Yaygın yaşam döngüsü olayları

Provisioning esasen kullanıcı yaşam döngüsüdür. Görmeye alacağınız en yaygın olaylar şunlardır:

  • Create: IdP'de uygulamanıza yeni bir kullanıcı atandı.
  • Update: profil alanları değişti (ad, e-posta, unvan) veya grup üyeliği değişti.
  • Deactivate: kullanıcının oturum açmaması veya ürünü kullanmaması gerekir.
  • Delete: kayıt silinir (kurumlarda daha az yaygın; birçok kuruluş devre dışı bırakmayı tercih eder).

Pratik bir ayrıntı: devre dışı bırakma genellikle erişimi kaldırırken denetim geçmişini koruduğu için “güvenli varsayılan”tır.

Son olarak, zihinsel modelinizde kimlik doğrulama ve provizyonu ayrı tutun. SSO, kullanıcı giriş yaptığında kim olduğunu kanıtlar. SCIM ise onun uygulamanızda olup olmaması gerektiğine karar verir ve hesap ile grup üyeliğini güncel tutar.

SCIM nesnelerini ürününüzün hesapları, grupları ve rolleriyle eşleyin

SCIM kullanıcı sağlama iyi çalışmadan önce SCIM nesneleri ile ürününüzün erişim modelinin net bir eşlemesi olmalıdır. Bu bulanıksa çift hesaplar, “gizemli” izinler ve müşterinin yeniden yapılanmasında her seferinde destek talepleriyle karşılaşırsınız.

Önce bir “kullanıcı”nın SaaS'inizde ne anlama geldiğini tanımlayın. Çoğu B2B üründe kullanıcı her zaman bir tenant (org, hesap veya çalışma alanı) içinde yer alır. SCIM size bir kimlik gönderir, ama bu kimliğin doğru tenant'a nasıl bağlanacağını yine siz belirlemelisiniz. Birçok ekip bunu her SCIM bağlantısını tek bir tenant ile sınırlayarak yapar; böylece sağlanan her kullanıcı varsayılan olarak o tenant'a düşer.

Sonra bir SCIM “grubu”nun neye dönüştüğüne karar verin. UI'da bu bir ekip, departman veya proje grubu olabilir. Önemli olan tutarlılıktır: bir SCIM Group, ürününüzde etiketler, kaydedilmiş filtreler ve roller karışımı değil, tek bir sabit kapsayıcıya eşlenmelidir.

Aşağıdaki kararlar çoğu sürprizi önler:

  • Kullanıcı anahtarı: IdP'nin kalıcı tanımlayıcısını (çoğunlukla SCIM kaynak idsi veya externalId) saklayın ve e-postayı değişebilir kabul edin.
  • Grup anahtarı: sadece displayName değil, grubun kalıcı tanımlayıcısını saklayın (isimler değişebilir).
  • Rol ataması: rolleri doğrudan kullanıcıya mı veriyorsunuz yoksa grup->rol eşlemesi mi kullanıyorsunuz?
  • Minimum öznitelikler: sadece ihtiyacınız olanları toplayın (ad, e-posta, kalıcı external ID) ve kalanları görmezden gelin.
  • Değişiklik işleme: yeniden adlandırma ve e-posta değişikliklerini "yeni bir kullanıcı" oluşturmadan destekleyin.

Pratik bir örnek: bir müşteri başlangıçta [email protected] ile “Ava Kim”i provize eder, sonra bunu [email protected] olarak değiştirir. Eğer kullanıcıları e-postaya göre eşlerseniz, Ava ikinci bir hesap olur ve her iki hesapta da erişimi sürer. Eğer kalıcı bir external ID ile eşlerseniz, e-posta temizce güncellenir ve erişim doğru kalır.

Bu eşlem ayarları için yönetici ekranları inşa ediyorsanız, AppMaster gibi bir no-code araç bu tenant düzeyindeki SCIM bağlantı ayarlarını ve rol eşleme UI'sını hızlıca sunmanıza yardımcı olabilir; aynı zamanda kuralları açık ve gözden geçirilebilir tutar.

Herhangi bir kod yazmadan önce yaşam döngüsü kurallarınızı belirleyin

SCIM, herkes kurallarda anlaştığında en iyi şekilde çalışır. Aksi halde IdP bir şey söylüyor, uygulamanız başka bir şey diyor ve destek çözmek zorunda kalıyor: "gizemli erişim" olayı. Gerçek hayatta yöneticilerin deneyimlediği şekilde joiner, mover, leaver terimleriyle düşünün.

Joiner, bugün bir hesaba ihtiyaç duyan yeni çalışan. Mover, takımını, lokasyonunu veya görev seviyesini değiştiren kişi. Leaver, ayrılmış ve artık erişmemesi gereken kişi.

SCIM kullanıcı sağlamayı uygulamadan önce ürününüzün her olay için ne yapacağını yazın.

Joiner'lar: varsayılanlar ve ilk giriş

IdP'den kullanıcı geldiği anda ne olacağını belirleyin.

  • Hangi rolü varsayılan olarak alırlar (asgari ayrıcalık) ve bu her müşteri için aynı mı?
  • E-posta doğrulaması gerektiriyor musunuz yoksa kurumsal IdP'ye güvenip hemen girişe izin mi veriyorsunuz?
  • Ürününüz birden fazla çalışma alanı veya hesaba sahipse, otomatik olarak birini mi oluşturursunuz yoksa bir yöneticinin kullanıcıyı konumlandırmasını mı beklersiniz?

Pratik bir kural: IdP kullanıcıyı oluşturduysa, ilk girişi basit ve öngörülebilir tutun. "Provize edildim ama giremiyorum" şeklinde biletlere yol açan adımlardan kaçının.

Mover'lar: izin yayılmasını önlemek

Bir kullanıcı departman değiştirdiğinde genellikle grup üyeliği değişir. Grup senkronizasyonunun erişimi tamamen mi değiştireceğine yoksa sadece ekleme mi yapacağına karar verin.

Eğer grup senkronizasyonu sadece ekliyorsa, insanlar zamanla eski izinleri biriktirir. Eğer tamamen değiştiriyorsa, paylaşılan bir proje için kişinin hala ihtiyacı olan erişimi yanlışlıkla kaldırabilirsiniz. Bir yaklaşım seçin ve her müşteri için belgeleyin.

Leaver'lar: “devre dışı bırakma” ne demek

“Devre dışı bırakma” açık, tekrarlanabilir bir işlem olmalıdır. Genellikle oturum açmayı engellemek, aktif oturumları ve token'ları iptal etmek ve denetim ile sahiplik devri için verilerini saklamak anlamına gelir. Ayrıca kişisel verileri anonimleştirip ne zaman yapacağınızı da kararlaştırın.

Son olarak sahipliği kararlaştırın: IdP gerçek bilgiyi mi taşır yoksa yerel yöneticiler uygulamanızdaki rolleri geçersiz kılabilir mi? Eğer geçersiz kılmaya izin veriyorsanız, hangi alanların SCIM'e kilitli ve hangilerinin düzenlenebilir olduğunu belirleyin.

AppMaster'da bunu inşa ediyorsanız, bu kuralları net bir veri şemasında modelleyip iş süreçlerinde uygulayabilirsiniz; böylece provizyon ihtiyaçları değiştikçe tutarlılık korunur.

Adım adım: bir kurumsal IdP ile SCIM provizyonunu uygulamak

Erişimi ürün genelinde birleştirin
Backend, web ve mobil arasında kullanıcıları, rolleri ve izinleri tek yerde birleştirin.
Uygulama Oluştur

SCIM kullanıcı sağlama genellikle sıkıcı nedenlerden başarısız olur: IdP temel URL'inize ulaşamaz, yetkilendirme belirsizdir veya uç noktalar IdP'nin beklediği şekilde davranmaz. Desteklenecek en küçük yüzeyi yazdıktan sonra tutarlı olmaya başlayın.

1) SCIM yüzey alanınızı tanımlayın

En azından müşteriler stabil bir SCIM base URL, bir yetkilendirme yöntemi ve öngörülebilir uç noktalar bekler. Pratik bir başlangıç seti şöyle görünür:

  • Tenant başına Base URL (her müşteri izole olsun diye)
  • Yetkilendirme yöntemi: bearer token veya OAuth 2.0 (önce birini seçin)
  • Temel uç noktalar: /Users ve /Groups
  • Keşif uç noktaları: /ServiceProviderConfig, /Schemas, /ResourceTypes
  • Temel sorgu desteği: sayfalama, userName/externalId ile filtreleme

Gerçekte neleri desteklediğinizi, özellikle PATCH davranışı ve grup üyeliği güncellemelerini /Groups üzerinden kabul edip etmediğinizi dokümante edin.

2) Değişmeyecek tanımlayıcıları seçin

Üç tanımlayıcı için plan yapın: dahili kullanıcı ID'niz, döndüreceğiniz SCIM idsi ve IdP'nin sabit tanımlayıcısı (externalId veya değiştirilmez bir öznitelik). E-postayı birincil anahtar olarak değil, giriş adı olarak kabul edin; çünkü e-postalar değişir ve harf büyüklüğü farklı olabilir.

Güvenli bir yaklaşım: IdP'nin değişmez ID'sini -> sizin dahili kullanıcı kaydınıza eşleyin ve e-postayı ayrı bir öznitelik olarak saklayın.

3) Güvenilir hale getirmek için gerekli işlemleri uygulayın

Çoğu ürün güvenilir olmak için birkaç davranışa ihtiyaç duyar:

  • Kullanıcı oluşturma (POST /Users)
  • Kullanıcı güncelleme (PATCH /Users/{id}), özellikle e-posta/ad değişiklikleri
  • Kullanıcıyı devre dışı bırakma (PATCH ile active:false ayarlama) — hard delete yerine
  • Kullanıcıyı okuma (GET) ki IdP durum doğrulayabilsin

Grup desteği varsa, üyelik güncellemelerini dikkatli uygulayın ve idempotent yapın (aynı istek birini "iki kez eklememeli").

4) Yöneticilerin harekete geçebileceği hatalar döndürün

Eşleme bozulduğunda belirsiz 500 hataları destek biletlerine dönüşür. SCIM-uyumlu hatalarla net detail mesajları döndürün. Örnek: IdP eksik bir zorunlu alan gönderdiyse 400 ile "userName gerekli" ve beklediğiniz alan yolunu verin.

5) Gerçek yüklerle ve çirkin kenar durumlarla test edin

Yaygın IdP'lerden gelen payload'ları yeniden oynatın ve bilerek hatalar ekleyin: eksik öznitelikler, boş dizeler, yinelenen e-postalar, daha önce devre dışı bırakılmış birinin yeniden eklenmesi ve kısmi PATCH güncellemeleri. Ayrıca IdP isteği zaman aşımından sonra yeniden denediğinde ne olduğunu da test edin.

Grupları ve rolleri izinleri karıştırmadan senkron tutun

Grup ve rol senkronizasyonu SCIM'in ya sihir gibi hissettirdiği ya da sürekli "neden bu kişinin erişimi var?" biletlerine neden olduğu yerdir. Anahtar, net bir model seçmek ve bunu görünür kılmaktır.

İşe yarayan iki model (ve hangi durumda kullanılacağı)

1) Gruplar rolleri yönlendirir (çoğu SaaS için önerilir). Kimlik sağlayıcı grupları sahiplenir ve her grup ürününüzde bir veya daha fazla role eşlenir. Bu müşteriye açıklaması kolay ve denetlemesi basittir.

2) Rolleri öznitelik olarak göndermek. IdP kullanıcıya rol benzeri bir değer gönderir (genelde extension özniteliği aracılığıyla). Küçük kurulumlar için daha basit olabilir ama müşteriler birden fazla rol, istisnalar veya geçici erişim istediğinde karmaşıklaşır.

Grup-tabanlı rolleri seçerseniz, eşlemeyi temkinli tutun. Varsayılan olarak asgari ayrıcalıkla başlayın: yeni kullanıcılar en düşük rolü alır, ekstra roller yalnızca açık grup üyeliğinden gelir.

Güvenli eşleme yaklaşımı:

  • Gerçek işleri yansıtan küçük bir rol seti tanımlayın (Viewer, Agent, Admin) — her kenar durumuna rol oluşturmaktan kaçının.
  • Mümkünse her IdP grubunu tek bir "birincil" role eşleyin.
  • Eşlenmemiş gruplar için varsayılan rol bırakın (genellikle hiçbiri veya en düşük rol).
  • Yükseltilmiş izin vermeden önce açık bir eşleme gerektirin.

Çoklu grup üyeliği ve çakışmalar

İnsanlar birden fazla gruba dahil olur. Çakışma kurallarını önceden belirleyin ve deterministik tutun. Yaygın seçenekler "en yüksek ayrıcalık kazanır" veya "eşleme sırasına göre öncelik"tir. Yazılı hale getirin ve UI'de gösterin.

Örnek öncelik kuralları:

  • Herhangi bir grup Admin'e eşlenmişse, Admin verin.
  • Yoksa herhangi bir grup Manager'a eşlenmişse, Manager verin.
  • Yoksa en düşük eşlenen rol verin.
  • Gruplar uyumsuz rollere eşleniyorsa kullanıcıyı inceleme için işaretleyin.

Gruplar değiştiğinde rol sürüklenmesini (drift) önleyin

Rol sürüklenmesi, bir grup kaldırıldığında eski izinlerin kalmasıyla olur. Grup kaldırmayı yetkili kabul edin: her SCIM güncellemesinde rollerin yeniden hesaplandığından emin olun ve artık haklı gösterilmeyen izinleri kaldırın.

Yönetici UI'nizde müşterilerin net bir görünümü olmalı. Gösterin: kullanıcının mevcut grupları, türetilen rol(ler), kullanılan tam eşleme ve kısa bir "son senkron" durumu. AppMaster gibi bir araçla yönetici portalınızı birinci sınıf görünüm yapın ki destek ve güvenlik ekipleri erişim sorularını saniyeler içinde cevaplayabilsin.

Güvenlik ve destek sorunlarına yol açan yaygın hatalar

Provizyon modelinizi tasarlayın
Tenant'ları, kullanıcıları, grupları ve rol eşlemelerini net bir veri şemasıyla modelleyin.
Oluşturmaya Başla

Çoğu SCIM destek bileti protokolden ziyade küçük boşluklarla ilgilidir. Bu boşluklar kullanıcıların yanlış erişime sahip olmasına yol açar ve sonra kimsenin IdP'nin mi yoksa uygulamanın mı "doğru" olduğunu bilmediği bir karmaşa doğar.

Yaygın bir sorun, hâlâ işlem yapabilen “devre dışı bırakılmış” kullanıcılardır. IdP'de bir kullanıcı devre dışı bırakılmışsa ama uygulamanız aktif oturumları, API token'larını, kişisel erişim token'larını veya OAuth yenileme token'larını iptal etmiyorsa, kullanıcı ürünü kullanmaya devam edebilir. Devre dışı bırakmayı bir profil güncellemesi gibi değil, bir güvenlik olayı olarak ele alın.

Çift hesaplar başka bir tekrar eden sorun kaynağıdır. Bu genelde kullanıcıları e-postaya göre anahtarladığınızda olur; sonra e-posta değişir veya IdP'nin sabit external identifier'ını göz ardı edersiniz. Sonuç: iki profil, iki izin kümesi ve müşterinin geçmişi birleştirmesini istediğinde destek karmaşası.

Grup ve rol sürüklenmesi çoğunlukla kısmi payload işlemeden kaynaklanır. Bazı IdP'ler sadece değişen alanları gönderir, bazıları tam nesneleri gönderir. Kodunuz bir stile bağımlıysa, üyelik kaldırmalarını yanlışlıkla görmezden gelebilir ve bu da asla temizlenmeyen “hayalet erişim”e yol açar.

Son olarak, istenmeyen üzerine yazmalara dikkat edin. Bir yönetici yerel olarak (geçici rol, acil erişim) bir kullanıcıyı değiştirdiğinde, sonraki senkronizasyon bunu silebilir. Hangi alanların IdP'ye ait ve hangi alanların uygulama tarafından yönetildiğini belirleyin, sonra bunu tutarlı şekilde uygulayın.

Uygulamayı müşteriye açmadan önce aktif olarak test etmeniz gereken hatalar:

  • Bir kullanıcıyı devre dışı bırakın ve oturumlar ile token'ların birkaç dakika içinde çalışmayı durdurduğunu doğrulayın.
  • Bir e-posta değiştirin ve aynı kişinin aynı hesapta kaldığını doğrulayın.
  • Bir kullanıcıyı bir gruptan çıkarın ve erişimin kaldırıldığını (sadece eklenmediğini) doğrulayın.
  • Yerel bir yönetici değişikliği yapın ve bunun sessizce geri alınmadığını doğrulayın.
  • Onaylar tamamlanana kadar erişimi engelleyin, IdP zaten kullanıcıyı oluşturmuş olsa bile.

Örnek: bir müşteri ilk gün 500 kullanıcı provize ederse. Eğer uygulamanız yöneticinin onayı olmadan varsayılan "üye" rolü atıyorsa, yanlış kişilere saatlerce veri açabilirsiniz. Basit bir "beklemede etkinleştirme" durumu bunun önüne geçer.

Operasyonel gereklilikler: günlükleme, denetimler ve destek hazırliği

SCIM'i daha hızlı gönderin
Her kuralı elle yazmak zorunda kalmadan SCIM-uyumlu bir backend ve yönetici arayüzü oluşturun.
AppMaster'ı Deneyin

SCIM kullanıcı sağlama en hızlı şekilde destek yüküne dönüştüğünde, kimsenin basit bir soruyu cevaplayamamasıdır: ne değişti, ne zaman ve neden. Operasyonu özelliğin bir parçası olarak ele alın, ekstra bir iş değil.

Her provizyon olayını, rol ve grup değişikliklerini içerecek şekilde kaydetmeye başlayın. Kod okumadan bir zaman çizelgesini tekrar oynatacak kadar ayrıntı olmalı.

  • Zaman damgası, tenant ve ortam
  • Tetikleyici kaynağı (IdP push, planlı senkron, yönetici eylemi)
  • IdP isteğinden korrelasyon ID'si (varsa)
  • Kullanıcı durumu, gruplar ve roller için önceki ve sonraki değerler
  • Sonuç (başarılı, yeniden deneme planlandı, kopya olarak görmezden gelindi, başarısız) ve hata mesajı

Müşteri yöneticileri için hızlı bir sağlık görünümü de gerekir. "Son senkron" ve "son hata" gösteren basit bir panoluk, müşterilerin yapılandırma sorunlarını kendilerinin teşhis etmesini sağlar ve biletleri azaltır. Bunu küçük bir etkinlik akışı (son 20 değişiklik) ile eşleştirin ki yeni bir çalışanın gerçekten ortaya çıkıp çıkmadığını veya erişimin kaldırılıp kaldırılmadığını görebilsinler.

Rate limitler ve yeniden denemeler, çiftlerin doğduğu yerlerdir. IdP'ler istekleri yeniden gönderecek ve ağ hataları olacaktır. Oluşturma işlemlerini idempotent yapın: sabit tanımlayıcılarla eşleştirin (externalId gibi) ve IdP bir olay tokenı sağlıyorsa son işlenen etkinlik tokenını saklayın. Yeniden denemeler geri çekilmeli (back off) ve asla "yeniden deneyin" diye yeni bir kullanıcı kaydı yaratmamalıdır.

Güvenli yeniden senkron planlayın. Destek ekibi bir tenant için yeniden içe aktarma (re-import) çalıştırabilmeli ve mevcut erişimi bozmamalıdır. En güvenli yaklaşım mevcut kaydı yerinde güncellemek, yerel-tekil alanları üzerine yazmaktan kaçınmak ve tek bir eksik kayıtta veriyi otomatik silmemektir. Deprovision ayrı, açık bir durum değişikliği olmalı ve net bir zaman damgasına sahip olmalıdır.

Denetimleri kullanılabilir tutmak için hafif bir destek çalışma kitabı (runbook) hazırlayın:

  • Bir tenant'ın son başarılı senkronu nasıl tespit edilir
  • Yaygın hata türleri nasıl yorumlanır (eşleme, izin, rate limit)
  • Güvenli bir şekilde yeniden senkron nasıl yapılır ve neleri değiştirir
  • Müşteri uyumluluk talepleri için denetim günlükleri nasıl dışa aktarılır
  • Ne zaman yükseltme yapılmalı (şüpheli yetkisiz rol veya grup değişiklikleri)

"Bu rolü kim verdi" sorusunu bir dakikada cevaplayabiliyorsanız, SCIM yayılımınız müşteriler için güvenilir hissedecektir.

SCIM'i müşterilere açmadan önce hızlı kontrol listesi

Gerçek bir kurumsal tenant için SCIM'i etkinleştirmeden önce bir test IdP ve temiz bir sandbox hesap ile son bir kontrol yapın. Çoğu lansman günü sorunu kimlik ve yaşam döngüsü davranışındaki küçük uyumsuzluklardan kaynaklanır; SCIM protokolünden değil.

Destek biletleri ve güvenlik boşlukları oluşturan sorunları yakalayan pratik kontrol listesi:

  • Kimlik eşleme kurallarını kilitleyin. Sisteminizin kalıcı anahtar olarak neyi kabul ettiğini (genellikle IdP'nin external ID'si) ve neyin değişebileceğini (genellikle e-posta) kararlaştırın. Bir e-posta değişikliğinin ikinci bir kullanıcı yaratmadığından emin olun.
  • Devre dışı bırakmayı uçtan uca doğrulayın. Devre dışı bırakılmış bir kullanıcının oturum açamadığını, aktif oturumların iptal edildiğini ve uzun ömürlü token'ların (API anahtarları, yenileme token'ları, kişisel erişim token'ları) nasıl ele alındığını doğrulayın.
  • Grup->rol eşlemeyi gerçekçi departmanlarla doğrulayın. "Sales", "Support" ve "Finance Admin" gibi 2-3 grup kullanın ve ortaya çıkan rollerin BT yöneticisinin ürününüzde beklediğiyle eşleştiğini doğrulayın.
  • Mover senaryosunu test edin. Bir kullanıcıyı bir gruptan diğerine taşıyın ve izinlerin doğru güncellendiğini doğrulayın (önbelleğe alınmış izinler dahil). Kullanıcı birden fazla gruba aitse ne olduğunu kontrol edin.
  • Idempotency için yeniden provizyon testini çalıştırın. Aynı kullanıcıları ve grupları iki kez gönderin ve hiçbir kopya, ekstra davet veya rol sürüklenmesi olmadığını doğrulayın.

Bir "insani" test ekleyin: Özelliği geliştirmeyen birine yönetici UI'nizi okutup IT bir grubu atadığında veya kaldırdığında ne olacağını açıklamasını isteyin. Tereddüt ederse, müşteriler de tereddüt eder.

AppMaster içinde SaaS'inizi inşa ediyorsanız, SCIM'i diğer kritik entegrasyonlar gibi ele alın: kuralları yönetici aracında görünür tutun, her değişikliği kaydedin ve yanlış bir deprovision sonrası erişimi geri yükleme (rollback) gibi işlemleri birinci sınıf iş akışı haline getirin.

Örnek senaryo: bir müşteri SCIM'i bir haftada devreye alıyor

Denetim ve etkinlik günlükleri oluşturun
Denetimler ve sorun giderme dakikalar içinde yapılsın diye her provizyon olayını kaydedin.
Başlayın

Yeni bir kurumsal müşteri Pazartesi sözleşme imzalıyor. BT yöneticileri önce SSO'yu etkinleştirir, böylece kullanıcılar şirket kimlik sağlayıcısıyla giriş yapabilir. Bu küçük pilot grup için çalışınca SCIM kullanıcı sağlamayı açarlar, böylece hesaplar otomatik oluşturulur ve güncellenir.

Haftanın tipik akışı:

    1. Gün: SSO 3-5 kişiyle test edilir ve uygulamanız tenant domain'ini ve giriş politikasını doğrular.
    1. Gün: Yönetici SCIM'i etkinleştirir, SCIM base URL'inizi ve token'ı IdP'ye yapıştırır ve test push'u çalıştırır.
    1. Gün: 50 kullanıcıya rollout yaparlar ve onları Sales, Support, Engineering gibi IdP gruplarına atarlar.
    1. Gün: Uygulamanızda grup->rol eşlemesini doğrularlar (ör. Support -> "Case Agent", Sales -> "Deals Viewer").
    1. Gün: Otomatik deprovision'u açarlar ve offboarding davranışını doğrularlar.

Çarşamba sabahı 50 kullanıcı birkaç dakika içinde provize edilmiş olur. Her kullanıcı ad, e-posta ve departman özniteliğiyle gelir ve uygulamanız onları doğru hesap ve gruplara yerleştirir. Müşteri yöneticisi SCIM etkinlik görünümünü açıp temiz bir "Create User" ve "Add to Group" olay listesi görür; artık destek ekibine tablolar göndermesine gerek kalmaz.

Perşembe günü bir mover vakası olur: Jordan Support'tan Sales'e transfer edilir. IdP Jordan'ın grup üyeliğini günceller. Uygulamanız bir sonraki senkronizasyonda Support rolünü kaldırır ve Sales rolünü ekler. Jordan tek bir hesapta kalır, denetim geçmişini korur ve sonraki girişte farklı ekranlar görür.

Cuma günü bir leaver vakası olur: Priya şirkette ayrılır. IdP kullanıcıyı devre dışı bırakır. Uygulamanız hemen girişleri engeller, aktif oturumları sonlandırır ve Priya'nın verilerini pasif bir kullanıcı olarak saklar ki kayıtlar sağlam kalsın.

Yöneticinin karşılaştığı tek bir sorun: yanlış özniteliği "email"e eşlemiş, bu yüzden birkaç kullanıcı boş e-postalarla gelmiş. Yönetici UI'de "Eksik zorunlu öznitelik: userName/email" gibi net hatalar, etkilenen kullanıcılar ve alınan son payload'u görür; böylece eşlemeyi düzeltip yeniden push yapabilir ve destek bileti açmak zorunda kalmaz.

Sonraki adımlar: SCIM'i ve etrafındaki yönetici deneyimini teslim edin

SCIM kullanıcı sağlama işin yalnızca yarısıdır. Diğer yarısı, sizin ve müşterilerinizin ne olduğunu anlamasına, sorunları hızla düzeltmesine ve erişimi uzun vadede düzenli tutmasına yardımcı olan yönetici deneyimidir.

Kasıtlı olarak küçük başlayın. Müşterilerinizin en çok istediği bir kimlik sağlayıcıyı seçin ve tek bir açık rol modeli destekleyin (ör. Member, Admin). Bu yol stabil hale geldiğinde daha fazla rol, grup deseni ve IdP-özgü kırıntılar ekleyin.

SCIM çevresinde çoğu destek biletini önleyen asgari araç seti:

  • Kullanıcıları ve provizyon kaynağını (SCIM vs manuel) gösteren bir yönetici ekranı
  • Rol ve grup eşleme UI'sı (güvenli bir "erişim yok" yedeklemesi dahil)
  • Kim neyi ve ne zaman değiştirdiğini gösteren denetim günlüğü (deprovision olayları dahil)
  • Son hatalar ve yeniden denemeleri gösteren bir "provizyon durumu" sayfası
  • Sorun gidermek için destek dostu bir dışa aktarım (CSV veya basit kopyalama)

İç sahipliğini erken belirleyin. Birilerinin eşlemeleri düzenli tutması, müşteri belgelerini güncellemesi ve destek için runbook'u muhafaza etmesi gerekir. SCIM öngörülebilir şekilde bozulur (kötü tokenlar, yeniden adlandırılmış gruplar, rate limitler), bu yüzden on-call tarzı notlar ve net yükseltme yolları saatleri kurtarır.

Pratik bir yaklaşım: provizyon yönetimi uygulamasını SCIM uç noktalarıyla eş zamanlı oluşturun. AppMaster ile ekipler backend mantığını, yönetici panellerini ve denetim görünümlerini görsel araçlarla hızlıca oluşturabilirken üretime hazır kod üretebilir ve tercih ettikleri buluta dağıtabilirler.

Örnek: bir müşteri "Marketing sadece okunabilir olmalı" der. Eğer bir eşleme UI'nız varsa, destek ekibi "Okta group: Marketing -> Role: Viewer" ayarını birkaç dakika içinde yapabilir ve denetim günlüğü her etkilenen hesabı gösterir. Bu UI yoksa aslında bir yapılandırma değişikliği olan şeyi acil düzeltmeler göndererek çözmeye çalışırsınız.

Hazır olduğunuzda SCIM'i tek bir tasarım ortağı müşteride etkinleştirin, bir hafta logları izleyin, sonra daha geniş açılım yapın. Daha hızlı ilerlemek isterseniz önce küçük bir dahili yönetici portalı ile başlayın, ardından müşteri karşısına çıkacak provizyon kontrolünü genişletin.

İlgili yazılar

Birebir notlar uygulaması: özel koçluk notları ve paylaşılan eylemler
date21 Oca 2026clock8 dk
Birebir notlar uygulaması: özel koçluk notları ve paylaşılan eylemler
Yöneticiler için özel koçluk notları ve çalışanların görebileceği paylaşılan eylemler içeren, basit iş akışları ve izinlerle bir birebir notlar uygulaması oluşturun.
birebir notlar uygulamasıözel koçluk notlarıpaylaşılan eylem maddeleri
Push bildirim izni UX'i: zamanlama, metin ve yedek akışlar
date20 Oca 2026clock8 dk
Push bildirim izni UX'i: zamanlama, metin ve yedek akışlar
Push bildirim izinleri UX'ini pratik hale getirin: doğru zamanlama, etkili metin ve 'hayır' sonrası akışlarla opt-in oranını yükseltirken kullanıcıları kontrol sahibi ve rahatsız olmamış tutun.
push bildirim izni UXbildirim izin isteme zamanlamasıizin istemi metin yazımı
Gizlilik silme ile denetim ihtiyaçları: pratik uzlaşma kalıpları
date20 Oca 2026clock8 dk
Gizlilik silme ile denetim ihtiyaçları: pratik uzlaşma kalıpları
Gizlilik silme istekleri ile denetim ihtiyaçları, anonimleştirme, tombstone kayıtları ve kısıtlı geçmiş görünümleri gibi pratik yaklaşımlarla operasyonları bozmadan dengelenebilir.
gizlilik silme ve denetim ihtiyaçlarıveri anonimleştirme teknikleritombstone kayıt modeli
Başlaması kolay
Harika bir şey yaratın

Ücretsiz planla AppMaster ile denemeler yapın.
Hazır olduğunuzda uygun aboneliği seçebilirsiniz.

Başlayın