> ## Documentation Index
> Fetch the complete documentation index at: https://docs-dev-actions-triggers-prototype.mintlify.site/llms.txt
> Use this file to discover all available pages before exploring further.
# Configuration du SCIM entrant
> Aperçu de la configuration du SCIM entrant pour les connexions d’entreprise
Pour utiliser cette fonction, votre plan Auth0 ou votre accord personnalisé doit inclure les connexions d’entreprise. Pour en savoir plus, lisez [Page de tarification d’Auth0](https://auth0.com/pricing).
[Postman](https://www.postman.com/downloads/) doit être installé sur une machine locale pour tester vos connexions SCIM entrantes.
Le [SCIM](/docs/fr-ca/authenticate/protocols/scim) est un [protocole](https://tools.ietf.org/html/rfc7644) et un standard de [schéma](https://tools.ietf.org/html/rfc7643) utilisés par les organisations pour la fourniture, la suppression et la gestion des informations relatives à l’identité de l’utilisateur.
La fonction SCIM entrante d’Auth0 prend en charge les intégrations des développeurs SaaS B2B avec les fournisseurs d’identité de l’entreprise. Les types de connexion Auth0 suivants sont actuellement pris en charge : [SAML](/docs/fr-ca/authenticate/identity-providers/enterprise-identity-providers/saml), [OpenID Connect](/docs/fr-ca/authenticate/identity-providers/enterprise-identity-providers/oidc), [Okta Workforce Identity Cloud](/docs/fr-ca/authenticate/identity-providers/enterprise-identity-providers/okta) et [Microsoft Azure AD/Entra ID](/docs/fr-ca/authenticate/identity-providers/enterprise-identity-providers/azure-active-directory/v2).
## Activation du SCIM entrant pour une connexion d’entreprise
1. Lancez [Auth0 Dashboard](https://manage.auth0.com/#/), puis choisissez le locataire que vous souhaitez configurer.
2. Allez à [**Authentification > Entreprise**](https://manage.auth0.com/#/connections/enterprise/)**,** puis sélectionnez parmi **SAML, OpenID Connect, Okta Workforce** ou **Microsoft Azure AD.**
3. Choisissez une connexion existante ou créez-en une nouvelle à l’aide de l’option [Créer une connexion](/docs/fr-ca/authenticate/database-connections/custom-db/create-db-connection).
4. Sous l’onglet **Fourniture** de votre connexion, définissez **Synchroniser les attributs du profil utilisateur à chaque connexion** sur **Inactif**, puis définissez **Synchroniser les profils utilisateurs à l’aide du SCIM** sur **Actif.**
5. Sélectionnez l’onglet **Configuration** sous **Synchroniser les profils utilisateurs à l’aide du SCIM** pour obtenir l’URL du point de terminaison SCIM et les jetons SCIM nécessaires aux tests avec Postman.
### Test avec Postman
Vous pouvez télécharger la collection Postman ci-dessous pour tester votre configuration SCIM :
* [Collection Postman SCIM 2.0](https://cdn.auth0.com/scim/collections/scim_postman_collection.json)
1. Lancez Postman, puis sélectionnez **Fichier> Importation…** et déplacez le fichier **scim\_postman\_collection.json** dans la boîte de dialogue d’importation.
2. Sélectionnez la collection **SCIM 2.0 Tests**, puis l’onglet **Variables**.
3. Copiez la valeur **Point de terminaison SCIM** d’Auth0 Dashboard et collez-la dans le champ **Valeur actuelle** en regard de la variable **SCIM-ENDPOINT-URL**.
4. Dans Auth0 Dashboard choisissez **Générer un nouveau jeton**, puis **Générer un jeton** et sélectionnez **Copier et fermer**.
5. Revenez à Postman, sélectionnez l’onglet **Autorisation** et collez la valeur du jeton dans le champ **Jeton**.
6. Sélectionnez **Enregistrer**
7. Exécutez les essais dans l’ordre indiqué, en commençant par la commande `POST` et en terminant par `DELETE`. Le résultat de chaque opération de l’utilisateur se trouve dans votre Auth0 Dashboard sous [**Gestion des utilisateurs > Utilisateurs**](https://manage.auth0.com/#/users)et dans les journaux des locataires sous [**Surveillance > Journaux**](https://manage.auth0.com/#/logs).
Pour faire des tests avec des fournisseurs d’identité précis, consultez la section [Configurer le SCIM entrant pour les fournisseurs d’identité utilisant SAML ou OpenID](/docs/fr-ca/authenticate/protocols/scim/configure-inbound-scim-for-identity-providers-using-saml-or-openid).
## Opérations du SCIM prises en charge
Auth0 prend en charge les opérations SCIM 2.0 suivantes pour gérer les utilisateurs :
| Commande | Description |
| -------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| `POST` | Crée un utilisateur dans Auth0 avec les attributs du schéma central SCIM 2.0 et de l’extension de schéma d’entreprise, comme décrit dans [RFC7644 Section 3.3](https://tools.ietf.org/html/rfc7644#section-3.3). |
| `GET` | Récupère un utilisateur déjà créé dans Auth0, à l’aide sa valeur user\_id dans Auth0, comme décrit dans [RFC7644 section 3.4.1](https://tools.ietf.org/html/rfc7644#section-3.4.1). |
| `PUT` | Remplace un utilisateur dans Auth0 avec des attributs du schéma central SCIM 2.0 et de l’extension de schéma d’entreprise, comme décrit dans [RFC7644 section 3.5.1](https://tools.ietf.org/html/rfc7644#section-3.5.1). |
| `PATCH` | Met à jour un utilisateur dans Auth0 avec des attributs du schéma central SCIM 2.0 et de l’extension de schéma d’entreprise, comme décrit dans [RFC7644 section 3.5.2](https://tools.ietf.org/html/rfc7644#section-3.5.2). |
| `DELETE` | Supprime un utilisateur dans Auth0, à l’aide sa valeur user\_id Auth0, comme décrit dans [RFC7644 section 3.6](https://tools.ietf.org/html/rfc7644#section-3.6). |
| `SEARCH` | Recherche un utilisateur dans Auth0 à l’aide d’un filtre SCIM, comme décrit dans [RFC7644 section 3.4.2](https://tools.ietf.org/html/rfc7644#section-3.4.2). Les opérateurs pris en charge sont : Equals (EQ), et (AND) et (OR). |
| `PUT` (Deactivate) | Remplace un utilisateur stocké dans Auth0 et définit l’attribut SCIM actif sur false, ce qui entraîne le blocage de l’utilisateur dans Auth0. |
| `PATCH` (Deactivate) | Met à jour un utilisateur dans Auth0 avec définit l’attribut SCIM actif sur false, ce qui entraîne le blocage de l’utilisateur dans Auth0. |
Auth0 utilise le [schéma de base SCIM 2.0 pour les ressources utilisateur](https://tools.ietf.org/html/rfc7643) et le [schéma Entreprise pour les ressources utilisateur](https://tools.ietf.org/html/rfc7643), ainsi que des jetons porteurs d’authentification client pour une compatibilité étendue avec de multiples fournisseurs d’identité de l’entreprise.
### Points de terminaison et jetons SCIM
Chaque client d’entreprise reçoit un point de terminaison SCIM propre à la connexion et un jeton qui lui permet de fournir la fourniture, de supprimer la fourniture et de gérer ses comptes utilisateurs stockés dans le locataire Auth0.
Les points de terminaison et les jetons sont visibles et configurables dans Auth0 Dashboard dans **Authentification > Entreprise > \[connection-type] > \[your-connection] > Fourniture > Synchroniser les profils utilisateurs à l’aide du SCIM > Configuration**.
Le **Point de terminaison SCIM** permet aux clients SCIM de gérer les comptes d’utilisateurs stockés dans Auth0 pour un fournisseur d’identité donné.
L’option **Générer un nouveau jeton** génère jusqu’à deux jetons actifs pour ce point de terminaison SCIM, ce qui permet de mettre à jour le jeton utilisé par le client SCIM sans interruption de service. Les jetons peuvent également être révoqués dans cet écran en sélectionnant **Supprimer**.
Les paramètres de génération de jetons suivants sont proposés :
* **Pas de date d’expiration** : Indiquez si le jeton expire ou non.
* **Date d’expiration en secondes** : si le jeton n’a pas de date d’expiration, vous pouvez choisir un délai d’expiration pour le jeton. Lorsque le jeton expire, le point de terminaison SCIM renvoie un message d’erreur lors de sa prochaine utilisation. Le délai d’expiration minimum autorisé est de 900 secondes.
* **Liste d'autorisations (permissions)** : détaille les opérations SCIM qui peuvent être effectuées à l'aide de ce jeton. Les autorisations possibles sont les suivantes :
* **get:users** – Permet de retrouver des utilisateurs et d’effectuer des recherches.
* **post:users** – Permet de créer des utilisateurs.
* **put:users** – Permet de mettre à jour des utilisateurs à l’aide de la méthode PUT.
* **patch:users** – Permet de mettre à jour des utilisateurs à l’aide de la méthode PATCH.
* **delete:users** – Permet de supprimer des utilisateurs.
### Mappage des attributs
Chaque nouvelle connexion utilise la carte d’attributs par défaut qui se trouve dans Auth0 Dashboard dans **Authentification > Entreprise > \[connection-type > \[your-connection] > Fourniture > Synchroniser les profils utilisateurs à l’aide du SCIM > Mappage**, où la carte peut être modifiée et adaptée aux besoins de votre connexion.
Les attributs utilisateur du SCIM définis dans les sections [3.1, 4.1 et 4.3 du RFC 7643](https://tools.ietf.org/html/rfc7643) peuvent être utilisés.
| Notes | |
| -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Mappage un-à-un | Un attribut (ou sous-attribut) SCIM sélectionné ne peut être associé qu’à un seul attribut Auth0. |
| Association des sous-attributs | Les valeurs des sous-attributs dans les attributs SCIM à valeurs multiples, tels que les adresses électroniques et les numéros de téléphone, peuvent être référencées à l’aide de la syntaxe de filtrage SCIM avec l’opérateur eq. Voir les mappages d’attributs par défaut pour des exemples. |
| Les attributs SCIM id et meta ne peuvent pas être mappés, car ils sont uniquement envoyés par Auth0 dans les réponses du protocole SCIM. La valeur id dans les réponses SCIM est toujours définie sur l’ID utilisateur Auth0, et l’attribut SCIM password n’est pas utilisable pour les connexions Entreprise. | |
| Omettre les attributs SCIM | Si un attribut SCIM spécifique n’est pas configuré pour être géré par votre carte d’attributs, il sera ignoré dans toutes les requêtes et les réponses SCIM. |
Ces attributs SCIM peuvent être mappés sur la [racine](/docs/fr-ca/manage-users/user-accounts/user-profiles/root-attributes) Auth0 et les attributs de [métadonnées](/docs/fr-ca/manage-users/user-accounts/metadata/metadata-fields-data) du profil utilisateur.
| Remarques | |
| ------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Mappage injectif | Un attribut Auth0 sélectionné ne peut être mappé qu’à un seul attribut SCIM. |
| Mappage d’attributs racine | Lors du mappage vers des attributs racine, notez que seuls les attributs racine répertoriés dans attributs du profil utilisateur peuvent être recherchés à l’aide d’une requête SCIM. Si vous avez besoin qu’un attribut qui ne figure pas dans cette liste puisse faire l’objet d’une recherche, placez-le dans app\_metadata. |
| Mappage d’attributs de métadonnées | L’utilisation de user\_metadata est autorisée, mais généralement déconseillée pour les attributs synchronisés, car elle est destinée à stocker des attributs qui peuvent être modifiés directement par l’utilisateur final. Utilisez à la place les attributs app\_metadata ou racine. |
| Comportement de l’attribut Blocked (Bloqué) | Le mappage vers l’attribut Blocked (Bloqué) Auth0 a un comportement spécial lorsqu’il est mappé à l’attribut actif SCIM. Lorsque l’élément active contient une valeur true ou false, Auth0 inverse la valeur et définit l’attribut Blocked (Bloqué) Auth0 sur false ou true, respectivement. |
Auth0 vous permet également de fournir des attributs à l’aide de SCIM parallèlement aux attributs fournis lors de la connexion. Pour plus d’informations, reportez-vous à la section **Synchroniser des attributs supplémentaires lors de la connexion** ci-dessous.
### Journaux et notifications sortantes
Vous pouvez consulter les détails complets de toutes les demandes SCIM reçues par Auth0 dans la section [**Suivi > Journaux**](https://manage.auth0.com/#/logs) d’Auth0 Dashboard. En outre, vous pouvez intégrer les [Flux de journaux personnalisés](/docs/fr-ca/customize/log-streams) pour être informé de la création, de la mise à jour ou de la suppression d’un utilisateur à l’aide du SCIM et de la [catégorie de filtre](https://auth0.com/docs/customize/log-streams/event-filters#scim-events) de flux de journaux du SCIM.
### Révocation de la séance et déconnexion du canal de retour
Lorsque Auth0 reçoit un message SCIM pour désactiver et bloquer un utilisateur, il met fin à toutes les séances Auth0 pour l’utilisateur, révoque les jetons d’actualisation et (s’il est configuré) déclenche la [déconnexion du canal de retour OpenID Connect](/docs/fr-ca/authenticate/login/logout/back-channel-logout/configure-back-channel-logout) pour vos applications.
## Instructions pour le déploiement
#### Exploitez les galeries d’intégration pour une configuration simplifiée.
Pour offrir à votre clientèle une expérience personnalisée pour la configuration du SCIM et la SSO, envisagez de répertorier votre application dans le [Okta Integration Network](https://www.okta.com/integrations/) et dans d’autres galeries d’intégration de fournisseurs d’identité des collaborateurs avec lesquels vous prévoyez de vous intégrer.
#### Tester le SCIM dans des environnements de niveau inférieur
N’activez pas le SCIM dans un locataire Auth0 de production avant d’avoir testé minutieusement votre intégration dans un locataire Auth0 de développement ou de mise à l’essai.
#### Envoyer des jetons SCIM en toute sécurité
N’envoyez jamais de jetons SCIM en texte en clair, par courriel ou sur des canaux non sécurisés. Utilisez un service de communication sécurisé comme [SendSafely](https://www.sendsafely.com/%20) ou intégrez la console en libre-service de votre application à la [Management API Auth0](/docs/fr-ca/authenticate/protocols/scim/manage-an-inbound-scim-deployment-with-the-management-api) pour émettre des jetons SCIM directement à vos clients.
#### Échange d’information
Lorsque vous fournissez un point de terminaison SCIM Auth0 à votre client, celui-ci a besoin des informations suivantes pour l’utiliser avec succès :
* L’URL du point de terminaison du SCIM pour la connexion Auth0
* Le jeton SCIM requis pour l’URL du point de terminaison SCIM
Les éléments ci-dessous sont également recommandés :
* La liste des attributs SCIM pris en charge pour la connexion Auth0, tels que configurés dans votre carte d’attributs SCIM.
* Toute instruction supplémentaire requise pour configurer leur client SCIM afin que ce dernier soit compatible avec votre configuration SCIM. Pour obtenir des conseils sur l’installation d’Okta Workforce et de Microsoft Entra ID, consultez la section [Configurer le SCIM entrant pour les fournisseurs d’identité utilisant SAML ou OpenID](/docs/fr-ca/authenticate/protocols/scim/configure-inbound-scim-for-identity-providers-using-saml-or-openid)
## Sujets avancés
#### Synchroniser des attributs supplémentaires lors de la connexion
Si vous intégrez un fournisseur d’identité qui ne prend pas en charge le même ensemble d’attributs utilisateur dans SAML/OIDC et SCIM, vous pouvez accéder à des attributs supplémentaires en activant l’option **Sync user profile attributes at login (Synchronisation des attributs du profil utilisateur lors de la connexion)** parallèlement à la fourniture de SCIM.
Lorsque **Sync user profile attributes at login (Synchronisation des attributs du profil utilisateur lors de la connexion)** est activé, tous les attributs [racine](https://auth0.com/docs/manage-users/user-accounts/user-profiles/root-attributes) sur le profil de l’utilisateur sont remplacés à chaque fois qu’un utilisateur se connecte. Pour éviter les conflits potentiels entre le SCIM et la synchronisation des connexions, appliquez les instructions suivantes :
* Assurez-vous que les attributs racine communs de Auth0 tels que le `email`et `username`sont mappés sur votre carte d’attributs [SAML](/docs/fr-ca/authenticate/protocols/saml/saml-configuration) ou [OpenID Connect](/docs/fr-ca/authenticate/identity-providers/enterprise-identity-providers/configure-pkce-claim-mapping-for-oidc) s’ils sont également présents dans votre carte d’attributs SCIM.
* Dans votre carte d’attributs SCIM, associez tous les autres attributs SCIM (à l’exception de l’attribut `active`) aux valeurs de l’attribut Auth0 `app_metadata`.
#### Synchronisation des rôles
Auth0 prend en charge la synchronisation de l’attribut utilisateur SCIM 2.0 `roles` tel que défini dans [RFC7643](https://datatracker.ietf.org/doc/html/rfc7643). Pour accepter les rôles, assurez-vous que la carte d’attributs SCIM de votre connexion associe l’attribut SCIM `roles` à un attribut utilisateur Auth0 tel que `app_metadata.roles`.
Pour savoir comment synchroniser des rôles propres à une application à partir d’Okta Workforce Identity Cloud, consultez [Comment ajouter des rôles à valeurs multiples dans l’intégration SCIM Cloud](https://support.okta.com/help/s/article/How-to-add-multivalue-roles-in-SCIM-Cloud-integration). Pour les rôles Microsoft Entra ID, consultez [Personnaliser les attributs de provisionnement des utilisateurs pour les applications SaaS dans Microsoft Entra ID](https://learn.microsoft.com/en-us/entra/identity/app-provisioning/customize-application-attributes#provisioning-a-role-to-a-scim-app).
#### Synchronisation des groupes
Auth0 ne prend pas en charge le point de terminaison `/groups` pour la fourniture d’objets de groupe complets et d’appartenances à des groupes, comme défini à la [section 3.2 de RFC7644](https://datatracker.ietf.org/doc/html/rfc7644#section-3.2). Toutefois, si un fournisseur d’identité prend en charge l’envoi d’une liste de groupes au moyen de SAML ou d’OpenID Connect, consultez la section précédente pour savoir comment synchroniser les attributs lors de la connexion.
#### Organisations
Pour que les utilisateurs fournis par le SCIM deviennent membres d’une organisation, la connexion doit être configurée de manière à **activer l’abonnement automatique**, comme décrit à la section [Octroi d’une adhésion juste à temps à une connexion d’organisation](/docs/fr-ca/manage-users/organizations/configure-organizations/grant-just-in-time-membership).
#### Association de comptes
Lorsque vous [associez des comptes d’utilisateurs](/docs/fr-ca/manage-users/user-accounts/user-account-linking), le compte d’utilisateur fourni par le SCIM doit être défini comme compte d’utilisateur principal. La configuration en tant que compte secondaire modifiera l’attribut SCIM `id`, ce qui va à l’encontre des [spécifications du schéma de base SCIM 2.0](https://datatracker.ietf.org/doc/html/rfc7643#section-3.1). Il n’est pas recommandé de relier des comptes d’utilisateurs d’entreprise à des comptes d’utilisateurs sociaux et personnels.
## En savoir plus
* [Configurer le SCIM entrant pour les fournisseurs d’identité qui utilisent SAML ou OpenID](/docs/fr-ca/authenticate/protocols/scim/configure-inbound-scim-for-identity-providers-using-saml-or-openid)
* [SCIM entrant pour les connexions Okta Workforce](/docs/fr-ca/authenticate/protocols/scim/inbound-scim-for-okta-workforce-connections)
* [SCIM entrant pour les connexions SAML Okta Workforce](/docs/fr-ca/authenticate/protocols/scim/inbound-scim-for-okta-workforce-saml-connections)
* [SCIM entrant pour les connexions SAML Entra ID](/docs/fr-ca/authenticate/protocols/scim/inbound-scim-for-azure-ad-saml-connections)
* [SCIM entrant pour les nouvelles connexions Microsoft Entra ID](/docs/fr-ca/authenticate/protocols/scim/inbound-scim-for-new-azure-ad-connections)
* [SCIM entrant pour les connexions Microsoft Entra ID héritées](/docs/fr-ca/authenticate/protocols/scim/inbound-scim-for-older-azure-ad-connections)