این راهنما به پرسشهای رایج درباره SSO و SCIM در Postman پاسخ میدهد. SSO ورود کاربران را از طریق Identity Provider سازمان انجام میدهد و SCIM برای provisioning، deprovisioning و مدیریت خودکار کاربران به کار میرود.
آیا فعال کردن SSO برای یک تیم روی تیمهای دیگر اثر دارد؟ #
خیر. تنظیمات SSO مخصوص هر Postman team است. یک سازمان میتواند چند تیم Postman داشته باشد و هر تیم روش ورود متفاوتی داشته باشد. این موضوع با domain capture فرق دارد؛ domain capture میتواند حسابهای مربوط به دامنه سازمان را در یک تیم متمرکز کند.
در provisioning چه دادهای از IdP به Postman نگاشت میشود؟ #
در provisioning، ایمیل مهمترین attribute برای mapping کاربر است. first name، last name و active status هم باید در درخواست provisioning وجود داشته باشند. اگر لازم باشد، first name و last name میتوانند خالی باشند؛ اما email و وضعیت فعال یا غیرفعال بودن برای ساخت یا مدیریت حساب ضروریاند.
فعال کردن SSO و SCIM با کاربران فعلی چه میکند؟ #
اگر کاربران قبل از فعال شدن SSO و SCIM عضو تیم بودهاند، بهصورت خودکار حذف نمیشوند. اگر دیگر نباید دسترسی داشته باشند، باید دستی حذف شوند. کاربرانی که قرار است با SCIM مدیریت شوند، باید email یکسانی در Postman و IdP داشته باشند تا mapping درست انجام شود.
SSO JIT provisioning چیست؟ #
Just-in-Time provisioning یا JIT یعنی کاربر هنگام ورود موفق از طریق SSO، خودش به تیم Postman اضافه شود. اگر JIT فعال باشد، کاربر بدون invite جداگانه میتواند وارد تیم شود؛ البته فقط اگر در IdP اجازه ورود داشته باشد.
اگر JIT فعال نباشد، کاربر پیام خطا میگیرد و باید برای عضویت در تیم دعوت شود. برای onboarding روانتر، معمولا فعال کردن JIT پیشنهاد میشود.
آیا میتوان SSO را بدون اختلال برای کاربران تست کرد؟ #
بله. میتوانید یک authentication method آزمایشی بسازید، مخصوصا هنگام migration بین IdPها. دو روش رایج وجود دارد:
- روش email/password را کنار SSO نگه دارید و بعد از تست موفق، روشهای اضافی را خاموش کنید.
- روش جدید را با برچسب Test مشخص کنید و زمانبندی و روش ورود را به کاربران اطلاع دهید.
اگر IdP مثل Okta از دسترس خارج شود، میتوان SSO را دور زد؟ #
مدیران میتوانند authentication methodها را روشن یا خاموش کنند. اگر کاربری فقط از طریق JIT و زمانی که Postman Auth غیرفعال بوده ساخته شده باشد، برای استفاده از رمز Postman باید فرایند Forgot Password را انجام دهد تا رمز حسابش تنظیم شود.
تفاوت deactivation موقت با حذف از تیم چیست؟ #
Temporary deactivation #
در deprovisioning یا deactivation موقت، کاربر از تیم Postman حذف میشود و نمیتواند با context سازمانی وارد شود. این روش با SCIM و از سمت IdP انجام میشود و برای مدیریت seatها کاربرد دارد.
اگر کاربر تنها عضو یک internal، public یا partner workspace باشد، بعد از deactivation تیم به عنوان admin جدید workspace در نظر گرفته میشود. پس از reactivation، دسترسیهای قبلی به منابع shared همیشه کامل برنمیگردد؛ مخصوصا برای private و partner workspaces.
Removal from team #
حذف کاربر از تیم از داخل Postman انجام میشود و دسترسی او را از workspaceهای تیمی برمیدارد. کاربر حذفشده نمیتواند به همان تیم وارد شود. اگر بعدا دوباره اضافه شود، دسترسیهای قبلی به internal workspaces یا workspaceهای خودش بهصورت خودکار بازنمیگردد.
IdP groups و licenseها در SCIM چطور کار میکنند؟ #
SCIM provisioning تا زمانی کار میکند که seat خالی وجود داشته باشد. اگر Auto-Flex یا True-up فعال باشد، کاربران بیشتری میتوانند فراتر از license اولیه اضافه شوند. در group provisioning، کاربران گروه باید قبلا provision شده باشند؛ وگرنه group provisioning شکست میخورد.
Postman پیشنهاد میکند email domainها را verify کنید تا کاربران همان دامنه سادهتر و با تعامل کمتر وارد تیم شوند.
منبع آموزشی: Postman Docs، بازنویسی و سادهسازیشده برای کاربران فارسیزبان.

