SCIM 2.0 provisioning: автоматический lifecycle management

## Что это SCIM (System for Cross-domain Identity Management) — стандарт REST API, через который Okta / Azure AD / Google Workspace автоматически пушат изменения в ROX: - Новый сотрудник в HR-системе → автоматически появляется workspace-account - Сотрудник переходит в другой отдел → role переключается через group-claims - Сотрудник уволен → account deactivated в течение часов (offboarding compliance) Что входит: - SCIM 2.0 endpoints: /Users, /Groups (create, update, delete, list, filter) - Per-tenant endpoint URL + auth token - Mapping: SCIM attributes → ROX User/Workspace/RBAC - Webhook на изменения для real-time sync - Audit-log каждого SCIM-операции - Replay-mode: «прогнать SCIM full-sync» для recovery после downtime ## Зачем Без SCIM каждый offboarding — это manual ticket «удалить из ROX». В среднем у энтерпрайза 5-15% годовой rotation. Это сотни tickets/год, и забытые активные аккаунты — это security-риск (ex-employee всё ещё видит всё). SCIM убирает этот ручной труд. ## Источники вдохновения - [tailscale/hallpass](https://github.com/tailscale/hallpass) - [anomalyco/openauth](https://github.com/anomalyco/openauth) - [steipete/better-auth](https://github.com/steipete/better-auth) ## 🔗 Linear - [PZD-378](https://linear.app/kuhjie/issue/PZD-378) — backing ticket