> ## Documentation Index
> Fetch the complete documentation index at: https://docs.flexxible.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Accés i autenticació

Per accedir a la plataforma de Flexxible, els usuaris poden autenticar-se mitjançant els mètodes següents:

* Autenticació amb un compte Microsoft Entra ID o Google
* Autenticació amb correu electrònic i contrasenya
* Autenticació amb SAML

## Autenticació amb un compte Microsoft Entra ID o Google

Perquè el sistema d'inici de sessió únic (SSO) de Flexxible pugui validar els comptes de Microsoft o Google i autoritzar l'accés a la plataforma, cal que un administrador concedeixi els permisos següents:

* **Microsoft Entra ID.** Habilitar l'ús d'una Aplicació Empresarial (Enterprise Application) de Flexxible al seu inquilí.
* **Google.** Habilitar l'ús d'un OAuth Client ID de Flexxible al seu inquilí.

Aquest procediment és habitual en aplicacions de tercers que deleguen l'autenticació en Microsoft Entra ID o Google. L'administrador de l'inquilí pot consultar en tot moment les dades a les quals l'aplicació té accés, revisar quins usuaris l'han utilitzat o revocar el consentiment. Si es revoca, els usuaris ja no podran iniciar sessió a Flexxible.

Segons la configuració i les polítiques de seguretat de l'organització, pot ser necessari que un administrador autoritzi aquests comptes la primera vegada que s'utilitzin.

### Consentiment i permisos de l'Aplicació Empresarial a Entra ID

L'accés es pot concedir a usuaris individuals o a grups. No obstant això, tal com s'ha explicat abans, existeix una opció per simplificar el procés: que un administrador atorgui consentiment organitzacional per a l'ús de l'Aplicació Empresarial.

Aquest consentiment registrarà automàticament l'Aplicació Empresarial a l'inquilí d'Azure i permetrà que els usuaris de l'organització iniciïn sessió a Flexxible amb les seves credencials corporatives. Només cal que l'administrador intenti iniciar sessió a la plataforma de Flexxible per primera vegada perquè s'iniciï la sol·licitud de consentiment.

<img src="https://mintcdn.com/flexxible/bM882aw8U2s-CYPO/images/platform/adminapob.png?fit=max&auto=format&n=bM882aw8U2s-CYPO&q=85&s=09fe2b3fa8a2f6d0a1e4e44d96bc9d2d" alt="adminapob" width="337" height="450" data-path="images/platform/adminapob.png" />

Si el consentiment es configura manualment, l'Aplicació Empresarial ha d'incloure els permisos següents:

| Permís             | Descripció                                                |
| ------------------ | --------------------------------------------------------- |
| Directory.Read.All | Llegir dades del directori                                |
| email              | Veure les adreces de correu electrònic dels usuaris       |
| offline\_access    | Mantenir l'accés a les dades a les quals s'ha donat accés |
| openid             | Iniciar sessió                                            |
| profile            | Veure el perfil bàsic dels usuaris                        |
| User.Read          | Iniciar sessió i llegir el perfil dels usuaris            |

## Autenticació amb correu electrònic i contrasenya

Per defecte, tots els usuaris de la plataforma de Flexxible tenen habilitada l'opció d'iniciar sessió amb un compte Microsoft Entra ID o Google.

De forma opcional, els usuaris amb el permís d'*Administrador d'organització* poden habilitar l'inici de sessió mitjançant correu electrònic i contrasenya per a altres membres de l'organització. Així, els usuaris podran triar de quina manera iniciar sessió.

<img src="https://mintcdn.com/flexxible/bM882aw8U2s-CYPO/images/platform/login.png?fit=max&auto=format&n=bM882aw8U2s-CYPO&q=85&s=fbc390e7d0f77d93cec213ce1cae9eb7" alt="login" width="325" height="400" data-path="images/platform/login.png" />

### Procés d'inici de sessió

Per iniciar sessió a la plataforma de Flexxible, fent ús de correu electrònic i contrasenya per primera vegada, s'han de seguir els passos següents:

1. Habilitar l'**accés a l'autenticació per correu electrònic i contrasenya** a l'usuari. Aquest pas l'ha de fer un Administrador d'organització.

2. Quan estigui habilitat, l'usuari rebrà un correu de benvinguda amb un enllaç per crear la seva contrasenya. L'enllaç és d'un sol ús. Si no pot iniciar sessió amb ell, sempre podrà autenticar-se amb Microsoft Entra ID o Google.

3. Crear una contrasenya; sense ella, no podrà iniciar sessió.

4. Configurar l'autenticació de dos factors a través d'una **aplicació d'autenticació**. La primera vegada que l'usuari intenti iniciar sessió amb correu electrònic i contrasenya, la plataforma li sol·licitarà que ho faci.

5. Iniciar sessió.

### Accés a l'autenticació per correu electrònic i contrasenya

Per activar aquest mètode en els usuaris, un Administrador d'organització ha d'haver habilitat primer l'opció d'autenticació per correu electrònic i contrasenya a nivell d'organització.

A continuació, l'Administrador d'organització podrà habilitar l'accés als usuaris que conformen l'organització. Per a això, Flexxible ofereix les opcions següents:

* Habilitar l'accés per a un nou usuari
* Habilitar l'accés per a un lot d'usuaris
* Habilitar l'accés des de la taula d'usuaris

### Habilitar l'accés per a un nou usuari

1. Accedir a **Configuració** → **Usuaris**.
2. Fer clic a **Nou**. S'obrirà un formulari que sol·licitarà la informació de l'usuari.
3. Marcar l'opció **Habilitar inici de sessió amb correu electrònic/contrasenya**.
4. Al formulari, fer clic a **Nou**.

<Tip>
  Pots trobar més informació sobre com crear un usuari a [Usuaris](../features/administration/users).
</Tip>

<img src="https://mintcdn.com/flexxible/bM882aw8U2s-CYPO/images/platform/enabled-login-password.png?fit=max&auto=format&n=bM882aw8U2s-CYPO&q=85&s=02fe4d0e9844bb8ae5aaec5a39e498a9" alt="enabled-login-password" width="999" height="449" data-path="images/platform/enabled-login-password.png" />

### Habilitar l'accés per a un lot d'usuaris

Per fer aquesta acció, es recomana primer exportar el llistat d'usuaris per obtenir el fitxer Excel amb el format adequat:

1. Accedir a **Configuració** → **Usuaris** → **Exportar usuaris**.

2. Obrir el fitxer Excel. A la columna **Email login enabled** s'ha d'indicar a quins usuaris se'ls habilitarà l'accés: **Y** (habilita) i **N** (deshabilita).

   <img src="https://mintcdn.com/flexxible/bM882aw8U2s-CYPO/images/platform/login-excel.png?fit=max&auto=format&n=bM882aw8U2s-CYPO&q=85&s=3ed53a84974defdd63412186329da108" alt="login-excel" width="701" height="173" data-path="images/platform/login-excel.png" />

3. Guardar el nou fitxer i tornar a la taula amb el llistat d'usuaris:

   **Configuració** → **Usuaris**.

4. Fer clic a **Importar usuaris**. Seleccionar el fitxer desat.

5. Fer clic a **Importar**.

   <img src="https://mintcdn.com/flexxible/bM882aw8U2s-CYPO/images/platform/import-users-login.png?fit=max&auto=format&n=bM882aw8U2s-CYPO&q=85&s=be94d84dca19580f9602835f1021d573" alt="import-users-login" width="415" height="149" data-path="images/platform/import-users-login.png" />

### Habilitar l'accés des de la taula d'usuaris

1. Accedir a **Configuració** → **Usuaris**.

2. Seleccionar els usuaris als quals se'ls vol habilitar l'accés.

3. Al menú superior, fer clic a **Accions d'inici de sessió per correu electrònic** → **Habilitar inici de sessió per correu electrònic** o **Deshabilitar inici de sessió per correu electrònic**, segons sigui el cas.

   <img src="https://mintcdn.com/flexxible/bM882aw8U2s-CYPO/images/platform/login-passw-user-table.png?fit=max&auto=format&n=bM882aw8U2s-CYPO&q=85&s=6258674875419067dc9054d56c812e9c" alt="login-passw-user-table" width="1000" height="423" data-path="images/platform/login-passw-user-table.png" />

#### Restablir la contrasenya des de la taula d'usuaris

1. Accedir a **Configuració** → **Usuaris**.

2. Seleccionar els usuaris als quals se'ls enviarà un correu electrònic amb l'enllaç per tornar a generar la contrasenya.

3. Seleccionar **Accions d'inici de sessió per correu electrònic`→`Reenviar correu electrònic de restabliment de contrasenya**.

   <img src="https://mintcdn.com/flexxible/bM882aw8U2s-CYPO/images/platform/resend-passw.png?fit=max&auto=format&n=bM882aw8U2s-CYPO&q=85&s=58eed4a6e464f0de4f1a3febc7463b18" alt="resend-passw" width="809" height="460" data-path="images/platform/resend-passw.png" />

>

<img src="https://mintcdn.com/flexxible/bM882aw8U2s-CYPO/images/platform/resend-message.png?fit=max&auto=format&n=bM882aw8U2s-CYPO&q=85&s=33a34c9bfe759486f16af7669d13ab49" alt="resend-message" width="279" height="186" data-path="images/platform/resend-message.png" />

<Info>
  Aquesta opció només està disponible per als usuaris que tenen habilitada l'autenticació per correu electrònic i contrasenya.
</Info>

### Configuració de seguretat d'autenticació

Flexxible permet gestionar els nivells de seguretat per a l'autenticació per correu electrònic i contrasenya, tant a nivell d'usuari com d'organització.

### Configuració de seguretat d'autenticació a nivell d'usuari

Des de **Perfil d'usuari** → **Configuració** → **Configuració de seguretat d'autenticació**, els usuaris poden establir tres mètodes d'autenticació de doble factor i configurar la seva contrasenya.

#### Autenticació de dos factors

Aquesta mesura de seguretat està disponible per a usuaris que inicien sessió mitjançant correu electrònic i contrasenya, afegint una capa extra de protecció al compte.

**Mètodes d'autenticació**

Per a l'autenticació en dos factors, la plataforma permet habilitar tres mètodes:

* Aplicació d'autenticació
* Codi de recuperació
* Verificació de correu electrònic

#### Aplicació d'autenticació

Una aplicació d'autenticació permet crear codis de verificació d'un sol ús. Quan aquest mètode d'autenticació està habilitat, en iniciar sessió a la plataforma, se sol·licitarà a l'usuari que introdueixi aquest codi de verificació juntament amb la seva contrasenya habitual. Per a això, primer ha de descarregar una aplicació d'autenticació, com Microsoft Authenticator, Google Authenticator o la que prefereixi.

Per afegir aquest mètode, l'usuari ha de fer clic a **Habilitar** al panell de configuració de seguretat d'autenticació. Una finestra modal mostrarà un codi QR. Quan s'escaneja, l'usuari haurà d'introduir, al camp reservat per a això, el codi de verificació de sis dígits atorgat per l'aplicació d'autenticació.

A continuació, es mostrarà un codi de recuperació, que l'usuari haurà de desar per utilitzar-lo si algun cop necessita iniciar sessió i no té accés al dispositiu on té instal·lada l'aplicació d'autenticació.

D'aquesta manera, d'ara endavant, en iniciar sessió, se sol·licitarà el codi de verificació a l'usuari a més de la contrasenya.

Quan un usuari entri per primera vegada a la plataforma utilitzant el seu correu electrònic i contrasenya, se li demanarà que estableixi aquest mètode d'autenticació per elevar el nivell de seguretat del seu compte.

<Info>
  **Codi de verificació** i **Codi de recuperació** no són el mateix. El primer el genera l'aplicació d'autenticació, el segon l'atorga Flexxible com a mesura de previsió.
</Info>

Des del panell de configuració de seguretat d'autenticació, l'usuari podrà veure la data i l'hora en què es va iniciar sessió utilitzant aquest mètode, així com la data en què es va afegir com a mètode de seguretat de doble factor.

#### Codi de recuperació

Quan s'habilita l'ús de l'aplicació d'autenticació, Flexxible genera un codi de recuperació perquè l'usuari el desi i l'usi quan no tingui accés al dispositiu on té descarregada l'aplicació d'autenticació. L'opció **Codi de recuperació** permet tornar a generar aquest codi si s'ha perdut, per comprovar la identitat de l'usuari quan vulgui iniciar sessió.

#### Verificació de correu electrònic

Si està habilitada, permet verificar la identitat de l'usuari mitjançant un correu electrònic si oblida la seva contrasenya o no disposa dels altres mètodes per identificar-se.

Per habilitar aquesta opció, l'usuari ha de fer clic a **Habilitar** al panell de configuració de seguretat d'autenticació. Des d'allà, l'usuari també podrà veure la data i hora de l'última vegada que es va utilitzar el mètode, així com l'última vegada que es va afegir com a mètode de seguretat de doble factor.

**Restablir l'autenticació en dos factors**

Permet restablir els mètodes d'autenticació de doble factor quan un usuari perd accés als dispositius que li permetien identificar-se. En prémer **Regenerar**, els mètodes d'autenticació de doble factor es deshabiliten.

L'usuari els podrà habilitar directament des del mateix panell de configuració de seguretat. O tancant i tornant a iniciar sessió a la plataforma.

També s'informa sobre la data i l'hora de l'última vegada que es va restablir l'autenticació de dos factors.

#### Contrasenya

Des del mateix panell, l'usuari pot sol·licitar el restabliment de la seva contrasenya. Ha de prémer el botó **Reenviar correu electrònic de restabliment de contrasenya** per rebre un correu amb les indicacions.

També s'informa sobre l'última vegada que es va canviar la contrasenya, l'última vegada que es va iniciar sessió i l'última adreça IP des de la qual es va connectar.

### Configuració de seguretat d'autenticació a nivell d'organització

Un Administrador d'organització pot habilitar o deshabilitar l'opció d'iniciar sessió a través de correu electrònic i contrasenya per als usuaris de l'organització i les seves suborganitzacions. La funcionalitat només es pot habilitar o deshabilitar des de l'organització principal en cas que es disposi de suborganitzacions.

Per a això, accedir a **Configuració** → **Organització.** I al menú lateral esquerre s'ha de fer clic sobre la pestanya **Autenticació**.

#### Habilitar o deshabilitar l'opció d'autenticació per correu electrònic i contrasenya a nivell d'organització

El botó **Habilitar autenticació per correu electrònic/contrasenya** o **Deshabilitar autenticació per correu electrònic/contrasenya**, segons sigui el cas, permet habilitar o deshabilitar la possibilitat que als usuaris membres d'una organització o suborganització se'ls pugui activar l'inici de sessió amb correu electrònic i contrasenya.

<Warning>
  Si es deshabilita aquesta opció, els usuaris no podran iniciar sessió amb correu electrònic i contrasenya ni gestionar el seu compte. Totes les credencials d'usuari seran eliminades. Si aquesta funció es torna a habilitar, els usuaris hauran de restablir una altra vegada la seva contrasenya i autenticació de doble factor.
</Warning>

### Taula d'usuaris

La taula d'usuaris de la pestanya **Autenticació** mostra el llistat dels membres de l'organització. A primera vista, des d'aquí es pot saber quins membres tenen habilitada l'opció d'iniciar sessió a través de correu electrònic i contrasenya.

### Detall d'autenticació d'un usuari

Si es fa clic sobre el nom d'un usuari de la taula, es pot accedir a targetes amb informació específica sobre el mètode d'autenticació que té habilitat:

* **Microsoft Entra ID.** *Càrrec*, *Telèfon*, *Últim inici de sessió*, *Recompte d'inicis de sessió* i *Última adreça IP*

* **Google.** *Últim inici de sessió*, *Recompte d'inicis de sessió* i *Última adreça IP*

* **Autenticació amb correu electrònic i contrasenya.** *Últim inici de sessió*, *Recompte d'inicis de sessió* i *Última adreça IP*. A més, des d'aquí, l'administrador pot gestionar la **Configuració de seguretat d'autenticació** per a aquest usuari específic, que inclou l'**Autenticació en dos factors** i la **Contrasenya**.

## Autenticació amb SAML

El llenguatge de marcatge per a confirmacions de seguretat (SAML) és una tecnologia d'inici de sessió únic (SSO) que permet a les organitzacions connectar els seus gestors d'identitats (Okta, Entra ID, entre d'altres) amb la plataforma de Flexxible, delegant-hi el procés d'autenticació.

Per configurar l'inici de sessió amb aquest mètode, s'han de fer ajustos relacionats amb el reconeixement del domini de l'organització i la integració amb el gestor d'identitats utilitzat.

### Dominis

Des d'aquesta pestanya, un Administrador d'organització pot registrar i verificar els dominis que s'utilitzaran. També pot accedir a la taula amb el llistat de dominis i consultar la seva vista de detall.

La taula mostra la informació següent:

* **Nom del domini.** Adreça web registrada per l'organització.
* **Estat.** **Verificat** o **No verificat**.
* **Creat el.** Data i hora de creació del domini.
* **Creat per.** Usuari que va registrar el domini.

### Crear un domini

Per configurar un domini, primer s'ha de registrar i posteriorment verificar-se.

1. Accedir a **Organització** → **Dominis**.
2. Fer clic a **Crear domini**.
3. Introduir el domini de l'organització (corresponent al correu electrònic dels usuaris que iniciaran sessió amb SAML).
4. Fer clic a **Nou**.

El domini s'afegirà a la taula amb l'estat **No verificat**.

### Verificar el domini

1. A la taula de Dominis, seleccionar el domini registrat.
2. Es mostrarà una finestra amb les instruccions per afegir un registre TXT al DNS, necessari per verificar la propietat.
3. Prémer **Verificar ara** per completar el procés.

### Crear una connexió SSO

La creació d'una connexió SSO permet que els usuaris amb adreces de correu electrònic de dominis específics s'autentiquin mitjançant el proveïdor d'identitats de l'organització.

1. Accedir a **Organització** → **Integracions SSO**.
2. Fer clic a **Crear connexió** i seguir les instruccions de l'assistent, que guiarà l'Administrador d'organització en la configuració i prova segons el gestor d'identitats utilitzat.

Els gestors d'identitats disponibles són:

* Okta
* Entra ID
* Custom SAML

Per a cada cas, es disposarà d'un assistent que guiarà pas a pas en la configuració específica dins del gestor d'identitats seleccionat.

<Tip>
  Algunes de les dades sol·licitades durant la configuració poden tenir noms diferents segons el gestor d'identitats. Per exemple, a Custom SAML:

  * El camp `Single Sign-On URL` pot aparèixer al gestor d'identitats com a `Reply URL (Assertion Consumer Service URL)`.
  * El camp `Service Provider Entity ID` pot denominar-se `Identifier (Entity ID)`.
</Tip>

<Note>
  Si sorgeix algun dubte durant el procés de configuració, consulta amb el teu contacte a Flexxible.
</Note>

Un cop completat el procés, els usuaris dels dominis associats podran iniciar sessió introduint el seu correu electrònic al camp corresponent i fent clic a **Continuar amb email**.

Si el sistema reconeix el domini com a habilitat per a SSO, redirigirà l'usuari al gestor d'identitats de l'organització per autenticar-se.

### Editar una connexió SSO

La plataforma permet editar una connexió SSO existent, ja sigui per actualitzar la configuració o renovar el certificat en cas de caducitat.

1. Accedir a **Organització** → **Integracions SSO**.
2. Seleccionar un registre a la taula.
3. Fer clic a **Editar connexió**.

Marcar el checkbox **Habilitar aprovisionament d'usuaris SCIM** és opcional. Més informació a **Aprovisionament d'usuaris amb SCIM**.

### Eliminar un domini

1. Accedir a **Organització** → **Dominis**.
2. Seleccionar a la taula el domini que es vol eliminar.
3. A la finestra de detall, fer clic a **Eliminar**.

En eliminar un domini, els usuaris associats a ell ja no podran autenticar-se mitjançant SAML, fins que es registri novament.

### Eliminar una connexió SSO

1. Accedir a **Organització** → **Integracions SSO**.
2. Seleccionar el registre corresponent a la taula.

## Aprovisionament SCIM

El sistema d'administració d'identitats entre dominis (SCIM) és un estàndard d'aprovisionament i gestió d'usuaris que complementa l'autenticació amb SAML. És opcional i la seva funció és automatitzar la creació, actualització i eliminació de comptes d'usuari a la plataforma de Flexxible, mantenint sincronitzada la informació entre el gestor d'identitats de l'organització (Okta, Entra ID, etc.) i la plataforma.

Quan SCIM està habilitat, el gestor d'identitats pot enviar a la plataforma la informació bàsica dels usuaris (nom, correu electrònic, grup), cosa que facilita la gestió d'altes i baixes. D'aquesta manera, la vida de l'usuari queda controlada de forma centralitzada des del gestor d'identitats.

### Habilitar SCIM

Per utilitzar SCIM és indispensable haver configurat prèviament l'autenticació amb SAML:

1. Accedir a **Organització** → **Integracions SSO**.
2. A la taula, seleccionar la connexió SSO corresponent.
3. Marcar l'opció **Habilitar aprovisionament d'usuaris SCIM**.

En activar l'opció, a la part inferior de la finestra de configuració apareixeran:

* Punt de connexió SCIM (endpoint)
* Token d'autenticació

<Warning>
  Aquestes dades són confidencials i s'han d'emmagatzemar de forma segura.
</Warning>

<Info>
  En entorns amb suborganitzacions, la integració SCIM s'ha de definir a l'inquilí pare.
</Info>

### Configurar SCIM al gestor d'identitats

Al gestor d'identitats de l'organització, s'han d'introduir el punt de connexió SCIM i el token d'autenticació proporcionats.

Exemple amb Entra ID:

1. Anar a **Aprovisionament**.
2. Introduir el punt de connexió SCIM i el token d'autenticació.
3. Seleccionar el mètode d'autenticació: **Bearer token** o **Bearer Authentication**.
4. Fer clic a **Test connection** per validar la sincronització.
5. Activar l'aprovisionament.

A partir d'aquest moment, el gestor d'identitats començarà a sincronitzar grups i usuaris cap a la plataforma.

<Info>
  * Si s'utilitza **Okta** com a proveïdor d'identitats:
    * La funcionalitat de SCIM s'ha de configurar utilitzant l'opció de Custom SAML, atès que Okta no admet SCIM si la connexió és amb OIDC.
    * En configurar la connexió Custom SAML, cal indicar que l'**Application username format** sigui **Email**, d'altra manera els usuaris no es podran autenticar.
</Info>

### Crear grups d'usuaris al gestor d'identitats

Per integrar usuaris mitjançant SCIM és indispensable crear grups al gestor d'identitats.

#### Consideracions

* Crear grups especialment dedicats amb noms clars i exclusius (ex. `MiOrg-Portal-L2`).
* Quan es creen o eliminen grups d'usuaris al gestor d'identitats també es crearan o eliminaran de forma automàtica a la plataforma.
* No crear grups niuats.
* **Un usuari només ha de pertànyer a un grup**; d'altra manera, podrien sorgir comportaments imprevistos: a la plataforma un usuari no pot tenir més d'un rol.
* No pot haver-hi usuaris sense grup assignat.
* Els usuaris que pertanyin a un grup que no té un rol vinculat, no seran visibles al llistat d'[Usuaris](../features/administration/roles).

En crear-se grups d'usuaris al gestor d'identitats, apareixerà automàticament la pestanya **Aprovisionament SCIM** al menú **Organització**.

### Mapeig de rolsl

A la taula de la pestanya **Aprovisionament SCIM** es poden veure els grups creats al gestor d'identitats. Això succeeix perquè s'ha establert una sincronització unidireccional, des del gestor d'identitats cap a la plataforma.

Per mapejar rols:

1. Accedir a **Organització** → **Aprovisionament SCIM**.
2. Seleccionar un grup sincronitzat de la taula.
3. A la finestra modal, assignar el rol corresponent.
4. Si una organització (inquilí) té suborganitzacions, escollir a quina suborganització pertany aquest grup abans d'assignar-li un rol.

A partir del moment en què tots els grups estiguin vinculats a un rol, no es necessitarà fer més configuracions. Els nous usuaris que s'afegeixin o eliminin dels grups al gestor d'identitats se sincronitzaran automàticament a la plataforma.

#### Consideracions sobre els rols

* Tot grup sincronitzat ha de tenir un rol assignat perquè els seus usuaris siguin visibles i funcionals.
* Es pot assignar el mateix rol a diferents grups.
* El rol assignat a un grup es pot modificar en qualsevol moment seguint els mateixos passos que es van utilitzar per assignar el rol.
* Al llistat d'[Usuaris](../features/administration/users), es veuran les columnes *Creat per* i *Actualitzat per* per identificar els usuaris gestionats per SCIM.

### Sincronització de rols

La freqüència de sincronització depèn del gestor d'identitats utilitzat (per exemple, Entra ID sincronitza cada 40 minuts), tot i que és possible forçar una sincronització manual des del propi gestor d'identitats per fer proves o canvis urgents sense esperar al cicle automàtic.

Per evitar dependre d'aquests intervals, la plataforma incorpora el botó **Sincronitzar rols assignats**, que permet alinear els rols dels usuaris pertanyents als grups creats amb SCIM.

Aquesta acció fa les operacions següents:

* Revisa tots els usuaris pertanyents a grups creats via SCIM.
* Comprova si el rol assignat a cada usuari coincideix amb el rol mapejat per al seu grup.
* Si detecta discrepàncies, actualitza automàticament el rol de l'usuari.

Si el rol pertany a una altra suborganització, l'usuari es mourà automàticament a la suborganització corresponent.

En finalitzar el procés, es mostra un resum detallat de les dades modificades.
