Automazioni
User sync
Provisioning, deprovisioning e aggiornamenti di ruolo automatici dal tuo identity provider — Entra ID, Google Workspace o Okta. Joiner-mover-leaver senza ticket IT manuali.
Aggiornato il 18 mag 2026
Configurazione · Automazione · 9.3
La User sync tiene la base utenti di Gfacility automaticamente allineata al tuo identity provider — di solito Entra ID, a volte Google Workspace o Okta. I nuovi assunti ottengono subito il ruolo giusto; chi esce viene bloccato immediatamente; i cambi di ruolo seguono le mutazioni HR senza che l’IT debba intervenire.
Perché è importante per il business
"Nuovo assunto, day-one, niente accesso"
Provisioning SCIM alla creazione in Entra → account pronto per il login.
"Ex-collega ancora attivo un mese dopo"
Deprovisioning entro 5 min dalla disattivazione nell'IdP — nessuna leaver gap.
"Promozione senza aggiornamento del ruolo"
Mapping appartenenza-gruppo → gruppo IdP "FM-managers" = ruolo Gfacility "Coordinatore FM".
"Permission creep"
La sync sovrascrive le modifiche manuali → unica fonte di verità, niente eccezioni invisibili.
Quali modalità di provisioning
SCIM (push)
L'IdP spinge i cambiamenti direttamente in Gfacility. Real-time, opzione più pulita per Entra e Okta.
Just-in-time
Account creato al primo login. Nessun pre-provisioning; ruolo derivato dalle claim SAML/OIDC.
Sync schedulata
Gfacility legge l'IdP ogni X minuti/ore. Funziona senza supporto SCIM; un po' di latenza.
Cosa configuri
| Campo | Cosa determina |
|---|---|
| Sistema sorgente | Entra · Google Workspace · Okta · AFAS · Workday. Uno principale, opzionalmente un secondo per campi specifici. |
| Ambito | Quali OU, quali security group, quali licenze? Limita a chi serve davvero Gfacility. |
| Mapping dei campi | UPN → email, displayName → nome, department → reparto. Uno-a-uno o tramite trasformazione. |
| Mapping gruppo-a-ruolo | Quale gruppo IdP diventa quale ruolo Gfacility? Uno-a-uno o più gruppi → un ruolo. |
| Comportamento leaver | Disattiva · anonimizza · oscura per 30 giorni · cancella dopo X giorni. |
| Policy di conflitto | Cosa fare a fronte di una modifica manuale in Gfacility che la sync sovrascriverebbe? Per lo più "IdP vince". |
| Frequenza | Real-time (SCIM) o schedulata (15min / 1h / giorno). Veloce = bassa latenza, più quota richiesta. |
| Monitoraggio | Dashboard di stato, log errori, alert su > X record falliti. |
Quali decisioni prenderai?
Quale IdP guida?
Entra è lo standard. AFAS può essere fonte migliore per reparto e centro di costo, con Entra per l'auth.
Utenti esterni
Collaboratori esterni via account guest o tenant separato? Just-in-time al primo login è spesso pratico.
Strategia leaver
Disattivare subito (sicurezza) vs oscurare per 30 giorni (continuità reporting). Allineato al DPO.
Revisione periodica
Trimestrale: gli utenti Gfacility attivi coincidono con gli attivi HR? Discrepanza = problema di sync.