Passer au contenu principal

Avant de commencer

Votre forfait Auth0 ou votre entente personnalisée doit inclure les connexions d’entreprise pour utiliser cette fonctionnalité. Pour en savoir plus, consultez la page des tarifs d’Auth0.Postman doit être installé sur une machine locale pour tester vos connexions SCIM entrantes.
SCIM est une norme de protocole et de schéma utilisée par les organisations pour provisionner, déprovisionner et gérer les renseignements liés à l’identité des utilisateurs. La fonctionnalité SCIM entrant d’Auth0 prend en charge les intégrations SaaS B2B développées avec des d’entreprise. Les types de connexion Auth0 suivants sont actuellement pris en charge : SAML, OpenID Connect, Okta Workforce Identity et Microsoft Azure AD / Entra ID.
Le provisionnement des utilisateurs Google Workspace est pris en charge par Directory Sync. Pour synchroniser des utilisateurs de Google Workspace avec Auth0, consultez Synchroniser les utilisateurs Google Workspace avec Auth0 à l’aide de Directory Sync.

Activer SCIM entrant pour une connexion d’entreprise

  1. Ouvrez l’Auth0 Dashboard, puis choisissez le locataire à configurer.
  2. Accédez à Authentication > Enterprise, puis sélectionnez SAML, OpenID Connect, Okta Workforce ou Microsoft Azure AD.
  3. Choisissez une connexion existante ou créez-en une nouvelle à l’aide de Create Connection.
  4. Dans l’onglet Provisioning de votre connexion, réglez Sync user profile attributes at each login à Off, puis Sync user profiles using SCIM à On.
  5. Sélectionnez l’onglet Setup sous Sync user profiles using SCIM afin d’obtenir l’URL du point de terminaison SCIM et les jetons SCIM nécessaires pour faire des tests avec Postman.

Tester avec Postman

Vous pouvez télécharger la collection Postman ci-dessous pour tester votre configuration SCIM :
  1. Ouvrez Postman, puis sélectionnez File > Import… et faites glisser le fichier scim_postman_collection.json dans la boîte de dialogue d’importation.
  2. Sélectionnez la collection SCIM 2.0 Tests, puis choisissez l’onglet Variables.
  3. Copiez la valeur SCIM Endpoint URL depuis l’Auth0 Dashboard et collez-la dans le champ Current Value à côté de la variable SCIM-ENDPOINT-URL.
  4. Dans l’Auth0 Dashboard, choisissez Generate New Token, puis cliquez sur Generate Token et sélectionnez Copy and Close.
  5. Revenez à Postman, sélectionnez l’onglet Authorization, puis collez la valeur du jeton dans le champ Token.
  6. Choisissez Save.
  7. Exécutez les tests dans l’ordre indiqué, en commençant par la commande POST et en terminant par DELETE. Le résultat de chaque opération sur un utilisateur se trouve dans l’Auth0 Dashboard sous User Management > Users et dans les journaux du locataire sous Monitoring > Logs.
Pour tester avec des fournisseurs d’identité précis, consultez Configure Inbound SCIM for fournisseurs d’identité using SAML or OpenID.

Opérations SCIM prises en charge

Auth0 prend en charge les opérations SCIM 2.0 suivantes pour gérer les utilisateurs :
CommandeDescription
POSTCrée un utilisateur dans Auth0 à l’aide d’attributs issus du schéma principal SCIM 2.0 et de l’extension de schéma d’entreprise, comme décrit à la section 3.3 de la RFC7644.
GETRécupère un utilisateur déjà créé dans Auth0 à l’aide de sa valeur user_id dans Auth0, comme décrit à la section 3.4.1 de la RFC7644.
PUTRemplace un utilisateur dans Auth0 à l’aide d’attributs issus du schéma principal SCIM 2.0 et de l’extension de schéma d’entreprise, comme décrit à la section 3.5.1 de la RFC7644.
PATCHMet à jour un utilisateur dans Auth0 à l’aide d’attributs issus du schéma principal SCIM 2.0 et de l’extension de schéma d’entreprise, comme décrit à la section 3.5.2 de la RFC7644.
DELETESupprime un utilisateur dans Auth0 à l’aide de sa valeur user_id dans Auth0, comme décrit à la section 3.6 de la RFC7644.
SEARCHRecherche un utilisateur dans Auth0 à l’aide d’un filtre SCIM, comme décrit à la section 3.4.2 de la RFC7644. Les opérateurs pris en charge sont égal à (EQ), et (AND) et ou (OR).
PUT (Désactiver)Remplace un utilisateur stocké dans Auth0 et définit l’attribut SCIM active sur false, ce qui a pour effet de bloquer l’utilisateur dans Auth0.
PATCH (Désactiver)Met à jour un utilisateur stocké dans Auth0 et définit l’attribut SCIM active sur false, ce qui a pour effet de bloquer l’utilisateur dans Auth0.
Auth0 utilise le schéma principal pour les ressources utilisateur de SCIM 2.0 et le schéma Enterprise pour les ressources utilisateur, ainsi que des jetons du porteur pour l’authentification de l’application afin d’assurer une large compatibilité avec plusieurs fournisseurs d’identité d’entreprise.

Points de terminaison et jetons SCIM

Chaque client d’entreprise obtient un point de terminaison SCIM et un jeton propres à la connexion, ce qui lui permet de provisionner, de déprovisionner et de gérer ses comptes utilisateur stockés dans le locataire Auth0. Les points de terminaison et les jetons sont visibles et configurables dans le , sous Authentication > Enterprise > [type-de-connexion] > [votre-connexion] > Provisioning >  Synchroniser les profils utilisateur avec SCIM >  Setup.
Capture d’écran du Dashboard montrant la configuration SCIM
L’URL du point de terminaison SCIM permet aux clients SCIM de gérer les comptes utilisateur stockés dans Auth0 pour un fournisseur d’identité donné. L’option Generate New Token génère jusqu’à deux jetons actifs pour ce point de terminaison SCIM, ce qui permet de mettre à jour le jeton utilisé par le client SCIM sans interruption de service. Les jetons peuvent aussi être révoqués sur cet écran en choisissant Delete.
Écran du Dashboard affichant les paramètres du jeton SCIM
Les paramètres de génération de jeton suivants sont disponibles :
  • Aucune date d’expiration : indiquez si le jeton expire ou non.
  • Date d’expiration en secondes : si le jeton n’a pas de date d’expiration, vous pouvez choisir une durée d’expiration pour le jeton. Lorsque le jeton expire, le point de terminaison SCIM renverra une réponse d’erreur à sa prochaine utilisation. La durée minimale d’expiration autorisée est de 900 secondes.
  • Liste des autorisations (scopes) : précise quelles opérations SCIM peuvent être effectuées avec ce jeton. Les autorisations disponibles sont les suivantes :
    • get:users - Permet de récupérer et de rechercher des utilisateurs.
    • post:users - Permet de créer des utilisateurs
    • put:users - Permet de mettre à jour des utilisateurs à l’aide de la méthode PUT.
    • patch:users - Permet de mettre à jour des utilisateurs à l’aide de la méthode PATCH.
    • delete:users - Permet de supprimer des utilisateurs.

Mappage des attributs

Chaque nouvelle connexion utilise le mappage d’attributs par défaut qui se trouve dans Auth0 Dashboard à Authentication > Enterprise > [connecton-type] > [your-connection] > Provisioning >  Sync user profiles using SCIM >  Mapping, où le mappage peut être modifié et personnalisé pour répondre aux besoins de votre connexion. Les attributs utilisateur SCIM de base définis dans les sections 3.1, 4.1 et 4.3 de la RFC 7643 peuvent être utilisés.
Remarques
Mappage un à unUn attribut SCIM sélectionné (ou un sous-attribut) ne peut être mappé qu’à un seul attribut Auth0.
Mappage des sous-attributsLes valeurs de sous-attributs dans des attributs SCIM à valeurs multiples, comme emails et phoneNumbers, peuvent être référencées à l’aide de la syntaxe de filtre SCIM avec l’opérateur eq. Consultez les mappages d’attributs par défaut pour voir des exemples.
Attributs non mappablesLes attributs SCIM id et meta ne peuvent pas être mappés, car ils sont envoyés uniquement par Auth0 dans les réponses du protocole SCIM. La valeur id dans les réponses SCIM est toujours définie sur le user_id Auth0, et l’attribut SCIM password n’est pas utilisable pour les connexions Enterprise.
Omission des attributs SCIMSi un attribut SCIM précis n’est pas configuré pour être pris en charge dans votre mappage d’attributs, il sera ignoré dans toutes les requêtes et réponses SCIM.
Ces attributs SCIM peuvent être mappés aux attributs racine et métadonnées du profil utilisateur.
Remarques
Mappage un à unUn attribut Auth0 sélectionné ne peut être mappé qu’à un seul attribut SCIM.
Mappage des attributs racineLors du mappage vers des attributs racine, notez que seuls les attributs racine répertoriés dans Attributs du profil utilisateur peuvent faire l’objet d’une recherche à l’aide d’une requête SCIM. Si vous avez besoin qu’un attribut qui ne figure pas dans cette liste puisse faire l’objet d’une recherche, placez-le dans app_metadata.
Mappage des attributs de métadonnéesL’utilisation de user_metadata est autorisée, mais elle n’est généralement pas recommandée pour les attributs synchronisés, puisqu’il est destiné à stocker des attributs pouvant être modifiés directement par l’utilisateur final. Utilisez plutôt app_metadata ou les attributs racine.
Comportement de l’attribut blockedLe mappage vers l’attribut Auth0 blocked a un comportement particulier lorsqu’il est mappé à l’attribut SCIM active. Lorsque active contient la valeur true ou false, Auth0 inverse cette valeur et définit l’attribut Auth0 blocked sur false ou true, respectivement.
Auth0 vous permet aussi de provisionner des attributs à l’aide de SCIM en parallèle avec les attributs provisionnés lors de la connexion. Pour en savoir plus, consultez Synchroniser des attributs supplémentaires à la connexion ci-dessous.

Journaux et notifications sortantes

Vous pouvez consulter tous les détails de toutes les requêtes SCIM qu’Auth0 reçoit dans la section Monitoring > Logs de Auth0 Dashboard. De plus, vous pouvez intégrer les flux de journaux personnalisés pour être avisé lorsqu’un utilisateur est créé, mis à jour ou supprimé au moyen de SCIM, en utilisant la catégorie de filtre du flux de journaux SCIM.

Révocation des sessions et déconnexion par canal arrière

Lorsqu’Auth0 reçoit un message SCIM pour désactiver et bloquer un utilisateur, il met fin à toutes les sessions Auth0 de cet utilisateur, révoque les et, s’il est configuré, déclenche la déconnexion OpenID Connect par canal arrière pour vos applications.

Consignes de déploiement

Tirez parti des galeries d’intégration pour simplifier la configuration

Pour offrir à vos clients une expérience adaptée pour configurer à la fois SCIM et , envisagez d’inscrire votre application dans l’Okta Integration Network ainsi que dans d’autres galeries d’intégration de fournisseurs d’identité d’entreprise avec lesquelles vous prévoyez vous intégrer.

Testez d’abord SCIM dans des environnements non productifs

N’activez pas SCIM dans un locataire Auth0 de production avant d’avoir testé minutieusement votre intégration dans un locataire Auth0 de développement ou de préproduction.

Transmettez les jetons SCIM de manière sécurisée

N’envoyez jamais de jetons SCIM en clair, par courriel ni par des canaux non sécurisés. Utilisez un service de communication sécurisé comme SendSafely ou intégrez la console libre-service de votre application à la Auth0 Management API pour émettre des jetons SCIM directement à vos clients.

Échange d’informations

Lorsque vous fournissez à votre client un point de terminaison SCIM Auth0, il aura besoin des renseignements suivants pour l’utiliser correctement :
  • L’URL du point de terminaison SCIM de la connexion Auth0
  • Le jeton SCIM requis pour l’URL du point de terminaison SCIM
Les éléments suivants sont également recommandés :
  • La liste des attributs SCIM pris en charge pour la connexion Auth0, telle qu’elle est configurée dans votre mappage des attributs SCIM
  • Toute instruction supplémentaire nécessaire pour configurer son client SCIM afin qu’il fonctionne avec votre configuration SCIM. Pour obtenir les directives de configuration d’Okta Workforce et de Microsoft Entra ID, consultez Configurer SCIM entrant pour les fournisseurs d’identité utilisant SAML ou OpenID

Sujets avancés

Synchroniser des attributs supplémentaires lors de la connexion

Si vous intégrez un fournisseur d’identité qui ne prend pas en charge le même ensemble d’attributs utilisateur dans /OIDC et SCIM, vous pouvez accéder aux attributs supplémentaires en activant Synchroniser les attributs du profil utilisateur lors de la connexion en parallèle avec le provisionnement SCIM. Lorsque l’option Synchroniser les attributs du profil utilisateur lors de la connexion est activée, tous les attributs racine du profil utilisateur sont remplacés chaque fois qu’un utilisateur se connecte. Pour éviter d’éventuels conflits entre SCIM et la synchronisation lors de la connexion, suivez ces directives :
  • Assurez-vous que les attributs racine Auth0 courants, comme email et username, sont mappés dans votre mappage d’attributs SAML ou OpenID Connect, s’ils figurent aussi dans votre mappage d’attributs SCIM.
  • Dans votre mappage d’attributs SCIM, mappez tous les autres attributs SCIM (sauf l’attribut active) vers des valeurs dans l’attribut Auth0 app_metadata.

Synchroniser les rôles

Auth0 prend en charge la synchronisation de l’attribut utilisateur SCIM 2.0 roles, tel qu’il est défini dans la RFC7643. Pour accepter les rôles, assurez-vous que le mappage des attributs SCIM de votre connexion associe l’attribut SCIM roles à un attribut utilisateur Auth0, comme app_metadata.roles. Pour savoir comment synchroniser des rôles propres à une application à partir d’Okta Workforce Identity, consultez How to Add Multi-value Roles in SCIM Cloud Integration. Pour les rôles de Microsoft Entra ID, consultez Customize user provisioning attribute-mappings for SaaS applications in Microsoft Entra ID.

Synchronisation des groupes

Auth0 ne prend pas en charge de point de terminaison /groups pour provisionner des objets de groupe complets et les appartenances aux groupes, comme défini dans la section 3.2 de la RFC 7644. Toutefois, si un fournisseur d’identité prend en charge l’envoi d’une liste de groupes au moyen de SAML ou d’ Connect, consultez la section précédente pour savoir comment synchroniser les attributs à la connexion.

Organisations

Pour que les utilisateurs provisionnés par SCIM deviennent membres d’une Organisation, la connexion doit être configurée pour Activer l’adhésion automatique, comme indiqué dans Accorder l’adhésion juste à temps à une connexion d’Organisation.

Liaison de comptes

Lorsque vous utilisez la liaison de comptes utilisateur, le compte utilisateur provisionné par SCIM doit être défini comme compte principal. Le définir comme compte secondaire modifiera l’attribut SCIM id, ce qui contrevient à la spécification du schéma principal SCIM 2.0. Il n’est pas recommandé de lier des comptes utilisateur Enterprise à des comptes utilisateur sociaux ou personnels.

En savoir plus