SCIM – IdP générique ou mise en œuvre personnalisée
1 Before You Start
- Vous devez avoir un compte Procedureflow avec le rôle « Administrateur de l’organisation » et un forfait qui prend en charge SCIM
- Déterminez la portée du déploiement, c’est-à-dire si seuls les utilisateurs ou à la fois les utilisateurs et les groupes seront approvisionnés.
2 Configurer Procedureflow pour prendre en charge l’approvisionnement
- Connectez-vous à Procedureflow à l’aide de votre compte d’administrateur de l’organisation.
- Accédez à Administration > Développeurs > Jetons d’accès personnels, puis cliquez sur « Nouveau jeton d’accès » pour créer un jeton à utiliser pour SCIM.
Nommez le jeton, sélectionnez une date d’expiration et attribuez-lui la permission SCIM « Lecture et écriture ».
Remarque Assurez-vous de créer un jeton avec une expiration suffisamment longue ou sans expiration — lorsque le jeton expire, l’intégration échouera jusqu’à ce qu’un nouveau jeton soit généré et configuré.
Cliquez sur « Créer un jeton ». Le jeton s’affichera temporairement dans l’écran des jetons d’accès personnels. Copiez le jeton et conservez-le ailleurs; vous en aurez besoin pour configurer votre fournisseur d’identité ou votre implémentation personnalisée, et une fois que vous aurez actualisé l’écran, le jeton ne sera plus accessible.
3 Créer et configurer votre IdP générique ou personnalisé
Il y a trois points de configuration pour mettre en place un fournisseur d’identité avec une API SCIM typique. Il en va de même pour l’API SCIM de Procedureflow :
- Tous les IdP nécessitent une URL de point de terminaison SCIM, aussi appelée URL de base SCIM. Trouvez ce champ dans la page de configuration SCIM de votre IdP et saisissez
https://api.procedureflow.com/v1/scim/v2
. L’IdP ou l’intégration personnalisée doit être configuré avec le jeton API créé à l’étape 2 ci-dessus.
À ce stade, la plupart des IdP testeront le bon fonctionnement de l’intégration après la configuration de l’URL SCIM et du jeton. Si vous utilisez une implémentation personnalisée, vous pouvez utiliser la fonction de liste des utilisateurs avec un utilisateur fictif. Vous devriez recevoir une réponse
200 OK
avec une liste vide d’utilisateurs :
curl \ -H "Authorization: Bearer 2:pfpat_dxPhkx4i9uvSE" \ https://api.procedureflow.com/v1/scim/v2/Users? filter=userName+eq+%22user@example.com%22 // devrait retourner une réponse 200 OK avec un contenu semblable à ceci : { "schemas": ["urn:ietf:params:scim:api:messages:2.0:ListResponse"], "itemsPerPage": 100, "totalResults": 0, "startIndex": 1, "resources": [] }
- La plupart des IdP disposent d’une section de configuration où vous pouvez spécifier quelles parties des schémas SCIM des utilisateurs et des groupes doivent être transmises au point de terminaison SCIM de Procedureflow.
4 Définir les utilisateurs/groupes à inclure dans l’approvisionnement
La plupart des IdP devraient vous permettre de configurer les utilisateurs et groupes inclus dans l’approvisionnement. La plupart des IdP permettent d’assigner les utilisateurs par groupe. Certains IdP font la distinction entre l’assignation de groupes et l’approvisionnement de groupes, ce qui est important à noter. Par exemple, Okta permet d’assigner un groupe entier, ce qui approvisionne tous les utilisateurs du groupe sans réellement approvisionner le groupe lui-même. Veuillez lire attentivement la documentation pour bien comprendre le fonctionnement de l’assignation et de l’approvisionnement pour votre IdP.
Remarque Il est recommandé de commencer avec un petit groupe d’utilisateurs ou un groupe de taille limitée. Avant de déployer à plus grande échelle, assurez-vous que tout fonctionne comme prévu. Les nouveaux utilisateurs ajoutés dans le groupe test devraient recevoir une invitation par courriel pour rejoindre Procedureflow.
5 Associer les groupes SCIM aux rôles des points d’entrée dans Procedureflow
Voir SCIM – Associer des groupes à des points d’entrée.
Read this article in English.