Configuration SCIM Azure AD — Guide de provisionnement SCIM Azure
Configurez le provisionnement automatique des utilisateurs depuis Microsoft Entra ID (Azure AD) vers SecureCodingHub en utilisant SCIM 2.0. Ce parcours SCIM Azure couvre la génération de token, l'application de provisionnement, le mappage d'attributs et le flux SCIM Azure de bout en bout dont vous avez besoin avant de passer en production.
Prérequis
- Tenant Azure AD avec accès administrateur
- Compte administrateur d'organisation SecureCodingHub
- SSO configuré (recommandé mais non requis)
Étape 1 — Générer un token SCIM
Connectez-vous à SecureCodingHub en tant qu'Administrateur de l'organisation
Allez dans Paramètres → SCIM
Cliquez sur Générer un token
Copiez le token — il n'est affiché qu'une seule fois
Étape 2 — Configurer le provisionnement dans Azure AD
Allez dans Azure Portal → Microsoft Entra ID → Enterprise Applications
Sélectionnez votre application SecureCodingHub (ou créez-en une)
Allez dans Provisioning → Get started
Mode de provisionnement : Automatic
URL de tenant : https://api.limeplate.com/api/sch/scim/v2
Token secret : collez votre token SCIM
Cliquez sur Test Connection — devrait réussir
Enregistrer
Étape 3 — Configurer le mappage d'attributs
Assurez-vous que les attributs suivants sont correctement mappés dans votre configuration de provisionnement Azure AD. Notez que SecureCodingHub stocke un seul champ Email par utilisateur — à la fois le mappage userPrincipalName → userName et le mappage mail → emails[work].value se résolvent finalement vers ce même champ. Si userPrincipalName et mail diffèrent dans votre tenant, configurez les deux pour pointer vers la valeur avec laquelle l'utilisateur se connecte.
| Attribut Azure AD | Attribut SCIM SecureCodingHub |
|---|---|
userPrincipalName | userName |
mail | emails[type eq "work"].value |
givenName | name.givenName |
surname | name.familyName |
Switch([IsSoftDeleted]...) | active |
Étape 4 — Démarrer le provisionnement
Définissez le statut de provisionnement sur On
Enregistrer
Azure AD exécute le cycle initial (peut prendre 20–40 minutes)
Les cycles suivants s'exécutent toutes les ~40 minutes
Étape 5 — Vérifier
Vérifiez la page Utilisateurs de SecureCodingHub
Examinez les journaux de provisionnement dans Azure Portal
Checklist de pré-déploiement pour SCIM Azure AD
Deux décisions précoces façonnent le reste de votre déploiement SCIM Azure AD. La première est de savoir s'il faut utiliser une application gallery ou une application enterprise non-gallery. SecureCodingHub n'est pas actuellement listé dans la galerie d'applications Microsoft Entra, donc vous créerez une application enterprise non-gallery depuis l'écran New application. C'est un chemin pris en charge normal. Les applications gallery sont pratiques quand elles existent mais ne sont pas requises pour que le provisionnement SCIM fonctionne, et la configuration manuelle vous donne le contrôle sur les noms de revendications et la portée d'attribution.
La deuxième décision est la relation entre provisionnement et attribution. Le provisionnement dans Entra ID n'équivaut pas automatiquement à l'accès. Vous configurez le provisionnement sous le panneau Provisioning, mais les utilisateurs ne se synchronisent que lorsqu'ils sont attribués à l'application sous Users and groups. Si vous sautez l'étape d'attribution, le cycle de provisionnement s'exécute et rapporte zéro changement, ce qui mène souvent à une heure perdue d'enquête. Confirmez que le paramètre Scope dans le panneau Provisioning correspond à votre stratégie d'attribution : Sync only assigned users and groups est le défaut plus sûr à moins que vous ne vouliez vraiment que chaque utilisateur licencié dans le tenant atterrisse dans SecureCodingHub.
Quand la synchronisation s'enlise
Azure AD mettra en quarantaine un travail de provisionnement s'il voit des erreurs répétées du point de terminaison SCIM. La bannière de quarantaine apparaît en haut du panneau Provisioning et est la cause la plus courante d'une synchronisation enlisée. Les causes se divisent en quelques catégories. L'échec d'authentification est la première quarantaine typique : un token SCIM régénéré ou révoqué dans SecureCodingHub toujours collé dans Azure AD. Générez un nouveau token dans SecureCodingHub, collez-le dans le champ Token secret, cliquez sur Test Connection jusqu'à ce qu'il réussisse, puis cliquez sur Restart provisioning pour effacer la quarantaine.
Les non-correspondances de schéma sont la deuxième catégorie. Si vous personnalisez la table de mappage d'attributs et référencez un attribut SCIM que le point de terminaison n'expose pas, Azure AD journalise une erreur de schéma et arrête le traitement. Revenez au mappage par défaut confirmé sur la page Vue d'ensemble SCIM et ajoutez des mappages personnalisés uniquement après que la base fonctionne. La troisième catégorie est la limitation de débit : les très grands tenants peuvent atteindre les limites par minute pendant le cycle initial, ce qu'Azure AD interprète comme des erreurs de service. Si vous suspectez cela, limitez la synchronisation initiale à un plus petit groupe attribué, laissez-la se terminer, puis étendez l'attribution.