Entra ID SCIM with Auth0 throws "Change enumeration is not supported on scaled partition" error

Gabriel J 0 Puntos de reputación
2024-10-27T01:48:46.11+00:00

Al seguir esta guia de Auth0 para integracion con SCIM y Microsoft Entra ID. Lanza el siguiente error al intentar hacer una sincronizacion incremental. La syncronizacion inicial siempre funciona bien. La incremental no.

Response: {"odata.error":{"code":"Request_UnsupportedQuery","message":{"lang":"en","value":"Change enumeration is not supported on scaled partitions."}}}

Los logs de provisionamiento no lanzan ningun error.

Y los logs de Auth0 muestran un get all users con el siguiente patron (ese uuid no existe y es diferente en cada reinicio de provisionamiento, despues de este query la applicacion entra en cuarentena sin dar mayor explicacion en los logs.

{
  "action": "get_users",
  "connection_id": "XXX",
  "request": {
    "method": "get",
    "path": "/scim/v2/connections/XXX/Users",
    "query": {
      "filter": "userName eq \"2d3e6ca7-0438-4298-acc1-16810246c432\""
    },
    "ip": "20.190.130.42"
  },
  "response": {
    "statusCode": 200,
    "body": {
      "totalResults": 0,
      "itemsPerPage": 0,
      "startIndex": 1,
      "Resources": [],
      "schemas": [
        "urn:ietf:params:scim:api:messages:2.0:ListResponse"
      ]
    }
  }
}
Microsoft Entra ID
Microsoft Entra ID
Un servicio de identidad Microsoft Entra que proporciona funcionalidades de control de acceso y administración de identidades. Reemplaza a Azure Active Directory.
46 preguntas
0 comentarios No hay comentarios
{count} votos

3 respuestas

Ordenar por: Muy útil
  1. María Yedra Martínez 75 Puntos de reputación
    2024-10-27T20:25:24.4866667+00:00

    Hola, Gabriel

    El error que estás encontrando al intentar hacer una sincronización incremental con SCIM y Microsoft Entra ID se debe a una limitación en cómo se gestionan las particiones escaladas en Entra ID.

    Espero poder ayudarte con estas indicaciones:

    Asegúrate de que la configuración en Auth0 y Microsoft Entra ID sea correcta y que todos los atributos requeridos estén bien mapeados. Dado que la sincronización inicial funciona correctamente, verifica si hay diferencias en la forma en que Auth0 está manejando las solicitudes de sincronización incremental. Puede ser útil revisar los parámetros y filtros que se están enviando en la solicitud de sincronización incremental (si el UUID que estás utilizando en la sincronización no existe, eso podría estar causando problemas)

    Revisa los logs de Auth0 para detectar cualquier advertencia o mensaje que pueda estar relacionado con la sincronización.

    Si después de realizar estas verificaciones el problema persiste, considera ponerte en contacto con el soporte técnico de Auth0. Ellos pueden ayudarte a revisar la configuración de tu aplicación y el proceso de sincronización.

    Espero que se solucione el problema


  2. María Yedra Martínez 75 Puntos de reputación
    2024-10-29T05:55:58.04+00:00

    No sé si esto puede ayudarte. Yo al final tuve que acudir a soporte técnico

    1. Asegúrate de que los atributos mapeados sean solo los necesarios.
    2. Limita la sincronización a usuarios específicos en modo manual.
    3. Revisa posibles restricciones del periodo de prueba.
    4. Habilita todos los logs posibles para obtener más visibilidad.

    Creo que esto ya lo has hecho por lo que me comentas. Así que, si sigues teniendo problemas después de esto, intenta ver si hay un límite en la política de seguridad que puedas ajustar o monitorea los logs desde Auth0 para obtener más detalles sobre el request que causa el error.

    Además, es lo más seguro, si planeas continuar con ambos servicios a largo plazo, podrías considerar escalar a un plan de pago en uno de los servicios, lo que abriría acceso al soporte técnico.

    0 comentarios No hay comentarios

  3. María Yedra Martínez 75 Puntos de reputación
    2024-10-29T06:11:26.7733333+00:00

    También las limitaciones en un tenant de prueba de Entra ID posiblemente se deban a que, en algunos casos, las políticas predeterminadas del tenant incluyen bloqueos automáticos por demasiados intentos de sincronización fallidos o restricciones en los atributos sincronizables. Estas políticas a veces no pueden ser modificadas en el entorno de prueba. Durante este periodo es común que el soporte directo sea limitado.

    No tengo más ideas para poder ayudarte. Lo siento. Espero que puedas solucionarlo!!!

    0 comentarios No hay comentarios

Su respuesta

Las respuestas se pueden marcar como respuestas aceptadas por el autor de la pregunta, lo que ayuda a los usuarios a conocer la respuesta que resolvió el problema del autor.