使用相同的身份提供者：您必须使用相同的身份提供者进行身份验证和用户预配。例如，如果您使用 Azure AD 进行 SCIM，则必须也使用 Azure AD 进行身份验证。
身份验证限制:
- 尝试通过其他方法（LDAP、OAuth）登录的用户将被阻止
- 默认情况下，未通过 SCIM 预配的用户无法访问 Grafana
- 您可以通过设置 allow_non_provisioned_users = true 来允许非 SCIM 预配的用户
例外：具有基本身份验证凭据的用户以及使用其 Grafana Cloud 账户的用户仍可以登录，不受这些限制的影响。

在 Grafana 中配置 SCIM

下表描述了所有 SCIM 配置选项。与任何其他 Grafana 配置一样，您可以将这些选项作为环境变量应用。

设置	必需	描述	默认值
`user_sync_enabled`	是	启用 SCIM 用户预配。启用后，Grafana 将根据您的身份提供者发送的 SCIM 请求创建、更新和停用用户。	`false`
`group_sync_enabled`	否	启用 SCIM 组预配。启用后，Grafana 将根据您的身份提供者发送的 SCIM 请求创建、更新和删除团队。如果已启用团队同步，则无法启用此选项。	`false`
`allow_non_provisioned_users`	否	允许非 SCIM 预配的用户登录 Grafana。	`false`

警告
团队同步兼容性:
SCIM 组同步 (group_sync_enabled = true) 和团队同步不能同时启用
您可以将 SCIM 用户同步 (user_sync_enabled = true) 与团队同步同时使用
有关迁移和兼容性的更多详细信息，请参阅SCIM vs 团队同步

SCIM 配置示例

[auth.scim]
user_sync_enabled = true
group_sync_enabled = false

支持的身份提供者

支持以下身份提供者：

工作原理

同步过程如下：

在您的身份提供者和 Grafana 中配置 SCIM
您的身份提供者将 SCIM 请求发送到 Grafana SCIM API 端点
Grafana 处理这些请求以创建、更新或停用用户和团队，并同步团队成员资格

与其他同步方法的比较

Grafana 提供了多种同步用户、团队和角色的方法。下表将 SCIM 与其他同步方法进行比较，以帮助您了解其优势：

同步方法	用户	团队	角色	自动化	主要优点	限制	本地部署	Cloud
SCIM	✅	✅	⚠️	完全	通过自动创建团队实现完整的用户和团队生命周期管理	需要 SAML 身份验证；使用角色同步进行基本角色分配	✅	✅
团队同步	❌	⚠️	❌	部分	同步团队成员资格到现有团队	需要手动创建团队；无团队生命周期管理	✅	✅
活动 LDAP 同步	✅	❌	❌	完全	LDAP 用户的后台同步	仅限于 LDAP 环境	✅	❌
角色同步	❌	❌	✅	完全	基本角色分配的完全自动化	仅限于基本角色	✅	✅
组织映射	❌	❌	⚠️	完全	每个组织的基本角色分配的完全自动化	仅限于基本角色；仅限本地部署	⚠️	❌