SCIM provisioning

SCIM 2.0 (RFC 7644) pour synchroniser users et groupes depuis Okta, Azure AD ou tout IdP compatible.

Quand l'utiliser

• Vous voulez creer / desactiver les users automatiquement quand l'IdP les active / desactive.
• Vous gerez les groupes IdP -> roles Auralith via mapping.
• Vous avez deja SAML SSO pour le login et il manque le cote provisioning.

Workflow rapide

1. Admin -> SCIM -> Generer un token. Note le bearer token, il ne sera plus jamais affiche.
2. Cote IdP : ajouter une integration SCIM custom. Endpoint : https://app.auralith.io/scim/v2. Auth = bearer token.
3. Mapper les attributs : userName (email), name.givenName, name.familyName, active.
4. Configurer les groupes IdP -> roles Auralith dans Admin -> SCIM -> Group mappings.
5. Lancer un push depuis l'IdP. Les users apparaissent dans Auralith avec scim_external_id peuple.
6. Desactivation : un user active=false cote IdP est desactive cote Auralith (sessions revokees, ne peut plus se loguer).

Concepts cles

• scim_external_id : id stable cote IdP. Sert a faire le lien meme si l'email change.
• ScimConfig : token bearer, mapping groupes -> roles.
• Endpoint racine : /scim/v2 (pas sous /api/v1) — RFC 7644 impose le chemin.

Pieges courants

• Token compromis = takeover total : le token SCIM peut creer / supprimer des users. Stockez-le dans un secret manager IdP, jamais en clair.
• Push partiel : Okta fait un full sync au demarrage, puis incremental. Si la connexion echoue mid-sync, l'etat peut etre desync. Lancer un manual push.
• Suppression vs desactivation : SCIM DELETE supprime hard. Auralith fait un soft delete (les audits restent). Si vous voulez purger, utilisez l'endpoint admin manuel.

API

Endpoints standards SCIM 2.0 :

GET    /scim/v2/Users
POST   /scim/v2/Users
GET    /scim/v2/Users/{id}
PATCH  /scim/v2/Users/{id}
DELETE /scim/v2/Users/{id}
GET    /scim/v2/Groups

Voir aussi

• SAML SSO