Docs/Aprovisionamiento SCIM/Endpoints de descubrimiento

Endpoints de descubrimiento SCIM

SCIM 2.0 define tres endpoints de descubrimiento que permiten a un proveedor de identidad averiguar qué operaciones admite el servidor SCIM sin tener que probar cada una a mano. SecureCodingHub ofrece los tres; la mayoría de IdP los llaman automáticamente durante la prueba de conexión inicial.

Los tres endpoints

Los tres están bajo el mismo prefijo que el resto de la API SCIM. Sustituya {base} por https://api.limeplate.com/api/sch/scim/v2:

EndpointPropósito
{base}/ServiceProviderConfigEl documento SCIM Service Provider Config. Indica al IdP qué operaciones admite el servidor (PATCH, filtrado, bulk, sort, change password, etc.) y cuáles son sus límites.
{base}/SchemasDevuelve los esquemas SCIM que ofrece este tenant, incluidos los esquemas Core User y Core Group además de cualquier extensión.
{base}/ResourceTypesDevuelve los tipos de recurso que este tenant expone (User, Group) y el prefijo de URL para cada uno.

Cuándo los necesita

La mayoría de las veces no los necesita — tanto Okta como Azure AD llaman a estos endpoints automáticamente durante la prueba de conexión SCIM y durante la configuración del mapeo de atributos, y usted nunca ve las respuestas. Los endpoints se vuelven relevantes cuando:

  • Está escribiendo un cliente SCIM personalizado y necesita saber qué operadores acepta el parser de filtros.
  • La prueba de conexión de un IdP falla y el error hace referencia a uno de los tres endpoints de descubrimiento — mirar la respuesta real suele revelar la mala configuración más rápido que leer la documentación del proveedor.
  • Un auditor pide documentación de las capacidades SCIM anunciadas por su tenant; los tres endpoints juntos forman esa documentación, refrescada en cada petición.

Qué le dicen las respuestas

El ServiceProviderConfig es el más útil de los tres en el día a día. Le dice al IdP que las operaciones de filtrado están admitidas pero limitadas al operador eq, que PATCH está admitido, que las operaciones bulk no lo están, que el endpoint de cambio de contraseña no está implementado y dónde vive la documentación del lado SCIM (este sitio). La mayoría de los bugs de SCIM son desajustes entre lo que el IdP espera hacer y lo que el SP dice que puede hacer; leer la respuesta de config es la forma más rápida de confirmar qué lado se equivoca.

Autenticación

Los endpoints de descubrimiento están protegidos por el mismo token Bearer que el resto de la API SCIM. Use el token SCIM emitido desde Organización → SSO — el mismo token que gestiona las peticiones de /Users y /Groups. Los endpoints de descubrimiento responden con el tipo de contenido estándar application/scim+json.