Endpoints de descubrimiento SCIM
SCIM 2.0 define tres endpoints de descubrimiento que permiten a un proveedor de identidad averiguar qué operaciones admite el servidor SCIM sin tener que probar cada una a mano. SecureCodingHub ofrece los tres; la mayoría de IdP los llaman automáticamente durante la prueba de conexión inicial.
Los tres endpoints
Los tres están bajo el mismo prefijo que el resto de la API SCIM. Sustituya {base} por https://api.limeplate.com/api/sch/scim/v2:
| Endpoint | Propósito |
|---|---|
{base}/ServiceProviderConfig | El documento SCIM Service Provider Config. Indica al IdP qué operaciones admite el servidor (PATCH, filtrado, bulk, sort, change password, etc.) y cuáles son sus límites. |
{base}/Schemas | Devuelve los esquemas SCIM que ofrece este tenant, incluidos los esquemas Core User y Core Group además de cualquier extensión. |
{base}/ResourceTypes | Devuelve los tipos de recurso que este tenant expone (User, Group) y el prefijo de URL para cada uno. |
Cuándo los necesita
La mayoría de las veces no los necesita — tanto Okta como Azure AD llaman a estos endpoints automáticamente durante la prueba de conexión SCIM y durante la configuración del mapeo de atributos, y usted nunca ve las respuestas. Los endpoints se vuelven relevantes cuando:
- Está escribiendo un cliente SCIM personalizado y necesita saber qué operadores acepta el parser de filtros.
- La prueba de conexión de un IdP falla y el error hace referencia a uno de los tres endpoints de descubrimiento — mirar la respuesta real suele revelar la mala configuración más rápido que leer la documentación del proveedor.
- Un auditor pide documentación de las capacidades SCIM anunciadas por su tenant; los tres endpoints juntos forman esa documentación, refrescada en cada petición.
Qué le dicen las respuestas
El ServiceProviderConfig es el más útil de los tres en el día a día. Le dice al IdP que las operaciones de filtrado están admitidas pero limitadas al operador eq, que PATCH está admitido, que las operaciones bulk no lo están, que el endpoint de cambio de contraseña no está implementado y dónde vive la documentación del lado SCIM (este sitio). La mayoría de los bugs de SCIM son desajustes entre lo que el IdP espera hacer y lo que el SP dice que puede hacer; leer la respuesta de config es la forma más rápida de confirmar qué lado se equivoca.
Autenticación
Los endpoints de descubrimiento están protegidos por el mismo token Bearer que el resto de la API SCIM. Use el token SCIM emitido desde Organización → SSO — el mismo token que gestiona las peticiones de /Users y /Groups. Los endpoints de descubrimiento responden con el tipo de contenido estándar application/scim+json.