Entra ID SCIM with Auth0 throws "Change enumeration is not supported on scaled partition" error

Question

Al seguir esta guia de Auth0 para integracion con SCIM y Microsoft Entra ID. Lanza el siguiente error al intentar hacer una sincronizacion incremental. La syncronizacion inicial siempre funciona bien. La incremental no.

Response: {"odata.error":{"code":"Request_UnsupportedQuery","message":{"lang":"en","value":"Change enumeration is not supported on scaled partitions."}}}

Los logs de provisionamiento no lanzan ningun error.

Y los logs de Auth0 muestran un get all users con el siguiente patron (ese uuid no existe y es diferente en cada reinicio de provisionamiento, despues de este query la applicacion entra en cuarentena sin dar mayor explicacion en los logs.

{
  "action": "get_users",
  "connection_id": "XXX",
  "request": {
    "method": "get",
    "path": "/scim/v2/connections/XXX/Users",
    "query": {
      "filter": "userName eq \"2d3e6ca7-0438-4298-acc1-16810246c432\""
    },
    "ip": "20.190.130.42"
  },
  "response": {
    "statusCode": 200,
    "body": {
      "totalResults": 0,
      "itemsPerPage": 0,
      "startIndex": 1,
      "Resources": [],
      "schemas": [
        "urn:ietf:params:scim:api:messages:2.0:ListResponse"
      ]
    }
  }
}

Answer 1

Hola, Gabriel

El error que estás encontrando al intentar hacer una sincronización incremental con SCIM y Microsoft Entra ID se debe a una limitación en cómo se gestionan las particiones escaladas en Entra ID.

Espero poder ayudarte con estas indicaciones:

Asegúrate de que la configuración en Auth0 y Microsoft Entra ID sea correcta y que todos los atributos requeridos estén bien mapeados. Dado que la sincronización inicial funciona correctamente, verifica si hay diferencias en la forma en que Auth0 está manejando las solicitudes de sincronización incremental. Puede ser útil revisar los parámetros y filtros que se están enviando en la solicitud de sincronización incremental (si el UUID que estás utilizando en la sincronización no existe, eso podría estar causando problemas)

Revisa los logs de Auth0 para detectar cualquier advertencia o mensaje que pueda estar relacionado con la sincronización.

Si después de realizar estas verificaciones el problema persiste, considera ponerte en contacto con el soporte técnico de Auth0. Ellos pueden ayudarte a revisar la configuración de tu aplicación y el proceso de sincronización.

Espero que se solucione el problema

Answer 2

No sé si esto puede ayudarte. Yo al final tuve que acudir a soporte técnico

1. Asegúrate de que los atributos mapeados sean solo los necesarios.
2. Limita la sincronización a usuarios específicos en modo manual.
3. Revisa posibles restricciones del periodo de prueba.
4. Habilita todos los logs posibles para obtener más visibilidad.

Creo que esto ya lo has hecho por lo que me comentas. Así que, si sigues teniendo problemas después de esto, intenta ver si hay un límite en la política de seguridad que puedas ajustar o monitorea los logs desde Auth0 para obtener más detalles sobre el request que causa el error.

Además, es lo más seguro, si planeas continuar con ambos servicios a largo plazo, podrías considerar escalar a un plan de pago en uno de los servicios, lo que abriría acceso al soporte técnico.

Answer 3

También las limitaciones en un tenant de prueba de Entra ID posiblemente se deban a que, en algunos casos, las políticas predeterminadas del tenant incluyen bloqueos automáticos por demasiados intentos de sincronización fallidos o restricciones en los atributos sincronizables. Estas políticas a veces no pueden ser modificadas en el entorno de prueba. Durante este periodo es común que el soporte directo sea limitado.

No tengo más ideas para poder ayudarte. Lo siento. Espero que puedas solucionarlo!!!