Configuration du SCIM entrant

Le SCIM est un protocole et un standard de schéma utilisés par les organisations pour la fourniture, la suppression et la gestion des informations relatives à l’identité de l’utilisateur.

La fonction SCIM entrante d’Auth0 prend en charge les intégrations des développeurs SaaS B2B avec les fournisseurs d’identité de l’entreprise. Les types de connexion Auth0 suivants sont actuellement pris en charge : SAML, OpenID Connect, Okta Workforce Identity Cloud et Microsoft Azure AD/Entra ID.

1. Lancez Auth0 Dashboard, puis choisissez le locataire que vous souhaitez configurer.

2. Allez à Authentification > Entreprise, puis sélectionnez parmi SAML, OpenID Connect, Okta Workforce ou Microsoft Azure AD.

3. Choisissez une connexion existante ou créez-en une nouvelle à l’aide de l’option Créer une connexion.

4. Sous l’onglet Fourniture de votre connexion, définissez Synchroniser les attributs du profil utilisateur à chaque connexion sur Inactif, puis définissez Synchroniser les profils utilisateurs à l’aide du SCIM sur Actif.

5. Sélectionnez l’onglet Configuration sous Synchroniser les profils utilisateurs à l’aide du SCIM pour obtenir l’URL du point de terminaison SCIM et les jetons SCIM nécessaires aux tests avec Postman.

Vous pouvez télécharger la collection Postman ci-dessous pour tester votre configuration SCIM :

1. Lancez Postman, puis sélectionnez Fichier> Importation… et déplacez le fichier scim_postman_collection.json dans la boîte de dialogue d’importation.

2. Sélectionnez la collection SCIM 2.0 Tests, puis l’onglet Variables.

3. Copiez la valeur Point de terminaison SCIM d’Auth0 Dashboard et collez-la dans le champ Valeur actuelle en regard de la variable SCIM-ENDPOINT-URL.

4. Dans Auth0 Dashboard choisissez Générer un nouveau jeton, puis Générer un jeton et sélectionnez Copier et fermer.

5. Revenez à Postman, sélectionnez l’onglet Autorisation et collez la valeur du jeton dans le champ Jeton.

6. Sélectionnez Enregistrer

7. Exécutez les essais dans l’ordre indiqué, en commençant par la commande POST et en terminant par DELETE. Le résultat de chaque opération de l’utilisateur se trouve dans votre Auth0 Dashboard sous Gestion des utilisateurs > Utilisateurs et dans les journaux des locataires sous Surveillance > Journaux.

Pour faire des tests avec des fournisseurs d’identité précis, consultez la section Configurer le SCIM entrant pour les fournisseurs d’identité utilisant SAML ou OpenID.

Auth0 prend en charge les opérations SCIM 2.0 suivantes pour gérer les utilisateurs :

Auth0 utilise le schéma de base SCIM 2.0 pour les ressources utilisateur et le schéma Entreprise pour les ressources utilisateur, ainsi que des jetons porteurs d’authentification client pour une compatibilité étendue avec de multiples fournisseurs d’identité de l’entreprise.

Chaque client d’entreprise reçoit un point de terminaison SCIM propre à la connexion et un jeton qui lui permet de fournir la fourniture, de supprimer la fourniture et de gérer ses comptes utilisateurs stockés dans le locataire Auth0.

Les points de terminaison et les jetons sont visibles et configurables dans Auth0 Dashboard dans Authentification > Entreprise > [connection-type] > [your-connection] > Fourniture > Synchroniser les profils utilisateurs à l’aide du SCIM > Configuration.

Le Point de terminaison SCIM permet aux clients SCIM de gérer les comptes d’utilisateurs stockés dans Auth0 pour un fournisseur d’identité donné.

L’option Générer un nouveau jeton génère jusqu’à deux jetons actifs pour ce point de terminaison SCIM, ce qui permet de mettre à jour le jeton utilisé par le client SCIM sans interruption de service. Les jetons peuvent également être révoqués dans cet écran en sélectionnant Supprimer.

Les paramètres de génération de jetons suivants sont proposés :

• Pas de date d’expiration : Indiquez si le jeton expire ou non.

• Date d’expiration en secondes : si le jeton n’a pas de date d’expiration, vous pouvez choisir un délai d’expiration pour le jeton. Lorsque le jeton expire, le point de terminaison SCIM renvoie un message d’erreur lors de sa prochaine utilisation. Le délai d’expiration minimum autorisé est de 900 secondes.

• Liste d'autorisations (permissions) : détaille les opérations SCIM qui peuvent être effectuées à l'aide de ce jeton. Les autorisations possibles sont les suivantes :

  • get:users – Permet de retrouver des utilisateurs et d’effectuer des recherches.

  • post:users – Permet de créer des utilisateurs.

  • put:users – Permet de mettre à jour des utilisateurs à l’aide de la méthode PUT.

  • patch:users – Permet de mettre à jour des utilisateurs à l’aide de la méthode PATCH.

  • delete:users – Permet de supprimer des utilisateurs.

Chaque nouvelle connexion utilise la carte d’attributs par défaut qui se trouve dans Auth0 Dashboard dans Authentification > Entreprise > [connection-type > [your-connection] > Fourniture > Synchroniser les profils utilisateurs à l’aide du SCIM > Mappage, où la carte peut être modifiée et adaptée aux besoins de votre connexion.

Les attributs utilisateur du SCIM définis dans les sections 3.1, 4.1 et 4.3 du RFC 7643 peuvent être utilisés.

Ces attributs SCIM peuvent être mappés sur la racine Auth0 et les attributs de métadonnées du profil utilisateur.

|Remarques| |---|--| |Mappage injectif| Un attribut Auth0 sélectionné ne peut être mappé qu’à un seul attribut SCIM.| |mappage d’attributs racine Lors du mappage vers des attributs racine, notez que seuls les attributs racine répertoriés dans attributs du profil utilisateur peuvent être recherchés à l’aide d’une requête SCIM. Si vous avez besoin qu’un attribut qui ne figure pas dans cette liste puisse faire l’objet d’une recherche, placez-le dans app_metadata.| |Mappage d’attributs de métadonnées| L’utilisation de user_metadata est autorisée, mais généralement déconseillée pour les attributs synchronisés, car elle est destinée à stocker des attributs qui peuvent être modifiés directement par l’utilisateur final. Utilisez à la place les attributs app_metadata ou racine.| |Comportement de l’attribut Blocked (Bloqué)| Le mappage vers l’attribut Blocked (Bloqué) Auth0 a un comportement spécial lorsqu’il est mappé à l’attribut actif SCIM. Lorsque l’élément active contient une valeur true ou false , Auth0 inverse la valeur et définit l’attribut Blocked (Bloqué) Auth0 sur false ou true, respectivement.|

Auth0 vous permet également de fournir des attributs à l’aide de SCIM parallèlement aux attributs fournis lors de la connexion. Pour plus d’informations, reportez-vous à la section Synchroniser des attributs supplémentaires lors de la connexion ci-dessous.

Vous pouvez consulter les détails complets de toutes les demandes SCIM reçues par Auth0 dans la section Suivi > Journaux d’Auth0 Dashboard. En outre, vous pouvez intégrer les Flux de journaux personnalisés pour être informé de la création, de la mise à jour ou de la suppression d’un utilisateur à l’aide du SCIM et de la catégorie de filtre de flux de journaux du SCIM.

Lorsque Auth0 reçoit un message SCIM pour désactiver et bloquer un utilisateur, il met fin à toutes les séances Auth0 pour l’utilisateur, révoque les jetons d’actualisation et (s’il est configuré) déclenche la déconnexion du canal de retour OpenID Connect pour vos applications.

Pour offrir à votre clientèle une expérience personnalisée pour la configuration du SCIM et la SSO, envisagez de répertorier votre application dans le Okta Integration Network et dans d’autres galeries d’intégration de fournisseurs d’identité des collaborateurs avec lesquels vous prévoyez de vous intégrer.

N’activez pas le SCIM dans un locataire Auth0 de production avant d’avoir testé minutieusement votre intégration dans un locataire Auth0 de développement ou de mise à l’essai.

N’envoyez jamais de jetons SCIM en texte en clair, par courriel ou sur des canaux non sécurisés. Utilisez un service de communication sécurisé comme SendSafely ou intégrez la console en libre-service de votre application à la Management API Auth0 pour émettre des jetons SCIM directement à vos clients.

Lorsque vous fournissez un point de terminaison SCIM Auth0 à votre client, celui-ci a besoin des informations suivantes pour l’utiliser avec succès :

• L’URL du point de terminaison du SCIM pour la connexion Auth0

• Le jeton SCIM requis pour l’URL du point de terminaison SCIM

Les éléments ci-dessous sont également recommandés :

• La liste des attributs SCIM pris en charge pour la connexion Auth0, tels que configurés dans votre carte d’attributs SCIM.

• Toute instruction supplémentaire requise pour configurer leur client SCIM afin que ce dernier soit compatible avec votre configuration SCIM. Pour obtenir des conseils sur l’installation d’Okta Workforce et de Microsoft Entra ID, consultez la section Configurer le SCIM entrant pour les fournisseurs d’identité utilisant SAML ou OpenID

Si vous intégrez un fournisseur d’identité qui ne prend pas en charge le même ensemble d’attributs utilisateur dans SAML/OIDC et SCIM, vous pouvez accéder à des attributs supplémentaires en activant l’option Sync user profile attributes at login (Synchronisation des attributs du profil utilisateur lors de la connexion) parallèlement à la fourniture de SCIM.

Lorsque Sync user profile attributes at login (Synchronisation des attributs du profil utilisateur lors de la connexion) est activé, tous les attributs racine sur le profil de l’utilisateur sont remplacés à chaque fois qu’un utilisateur se connecte. Pour éviter les conflits potentiels entre le SCIM et la synchronisation des connexions, appliquez les instructions suivantes :

• Assurez-vous que les attributs racine communs de Auth0 tels que le emailet usernamesont mappés sur votre carte d’attributs SAML ou OpenID Connect s’ils sont également présents dans votre carte d’attributs SCIM.

• Dans votre carte d’attributs SCIM, associez tous les autres attributs SCIM (à l’exception de l’attribut active) aux valeurs de l’attribut Auth0 app_metadata.

Auth0 prend en charge la synchronisation de l’attribut utilisateur SCIM 2.0 roles tel que défini dans RFC7643. Pour accepter les rôles, assurez-vous que la carte d’attributs SCIM de votre connexion associe l’attribut SCIM roles à un attribut utilisateur Auth0 tel que app_metadata.roles.

Pour savoir comment synchroniser des rôles propres à une application à partir d’Okta Workforce Identity Cloud, consultez Comment ajouter des rôles à valeurs multiples dans l’intégration SCIM Cloud. Pour les rôles Microsoft Entra ID, consultez Personnaliser les attributs de provisionnement des utilisateurs pour les applications SaaS dans Microsoft Entra ID.

Auth0 ne prend pas en charge le point de terminaison /groups pour la fourniture d’objets de groupe complets et d’appartenances à des groupes, comme défini à la section 3.2 de RFC7644. Toutefois, si un fournisseur d’identité prend en charge l’envoi d’une liste de groupes au moyen de SAML ou d’OpenID Connect, consultez la section précédente pour savoir comment synchroniser les attributs lors de la connexion.

Pour que les utilisateurs fournis par le SCIM deviennent membres d’une organisation, la connexion doit être configurée de manière à activer l’abonnement automatique, comme décrit à la section Octroi d’une adhésion juste à temps à une connexion d’organisation.

Lorsque vous associez des comptes d’utilisateurs, le compte d’utilisateur fourni par le SCIM doit être défini comme compte d’utilisateur principal. La configuration en tant que compte secondaire modifiera l’attribut SCIM id, ce qui va à l’encontre des spécifications du schéma de base SCIM 2.0. Il n’est pas recommandé de relier des comptes d’utilisateurs d’entreprise à des comptes d’utilisateurs sociaux et personnels.

• Configurer le SCIM entrant pour les fournisseurs d’identité qui utilisent SAML ou OpenID
• SCIM entrant pour les connexions Okta Workforce
• SCIM entrant pour les connexions SAML Okta Workforce
• SCIM entrant pour les connexions SAML Entra ID
• SCIM entrant pour les nouvelles connexions Microsoft Entra ID
• SCIM entrant pour les connexions Microsoft Entra ID héritées