Points de terminaison de découverte SCIM
SCIM 2.0 définit trois points de terminaison de découverte qui permettent à un fournisseur d'identité d'apprendre ce que le serveur SCIM prend en charge sans essayer chaque opération à la main. SecureCodingHub sert les trois ; la plupart des IdP les appellent automatiquement pendant le test de connexion initial.
Les trois points de terminaison
Tous les trois vivent sous le même préfixe que le reste de l'API SCIM. Remplacez {base} par https://api.limeplate.com/api/sch/scim/v2 :
| Point de terminaison | Objectif |
|---|---|
{base}/ServiceProviderConfig | Le document SCIM Service Provider Config. Indique à l'IdP quelles opérations le serveur prend en charge (PATCH, filtrage, bulk, sort, change password, etc.) et quelles sont leurs limites. |
{base}/Schemas | Renvoie les schémas SCIM servis par ce tenant, y compris les schémas Core User et Core Group plus toutes les extensions. |
{base}/ResourceTypes | Renvoie les types de ressources que ce tenant expose (User, Group) et le préfixe d'URL pour chacun. |
Quand vous en avez besoin
La plupart du temps, vous n'en avez pas — Okta et Azure AD appellent tous deux ces points de terminaison automatiquement pendant le test de connexion SCIM et pendant la configuration du mappage d'attributs, et vous ne voyez jamais les réponses. Les points de terminaison deviennent pertinents lorsque :
- Vous écrivez un client SCIM personnalisé et avez besoin de savoir quels opérateurs l'analyseur de filtre accepte.
- Le test de connexion d'un IdP échoue et l'erreur référence l'un des trois points de terminaison de découverte — regarder la réponse réelle fait souvent ressortir la mauvaise configuration plus rapidement que de lire la documentation du fournisseur.
- Un auditeur demande la documentation des capacités SCIM annoncées par votre tenant ; les trois points de terminaison ensemble forment cette documentation, rafraîchie à chaque requête.
Ce que les réponses vous disent
Le ServiceProviderConfig est le plus utile des trois au quotidien. Il indique à l'IdP que les opérations de filtre sont prises en charge mais limitées à l'opérateur eq, que PATCH est pris en charge, que les opérations bulk ne le sont pas, que le point de terminaison de changement de mot de passe n'est pas implémenté, et où vit la documentation côté SCIM (ce site). La plupart des bugs SCIM sont des mauvais alignements entre ce que l'IdP attend de faire et ce que le SP dit qu'il peut faire ; lire la réponse de configuration est le moyen le plus rapide de confirmer quel côté a tort.
Authentification
Les points de terminaison de découverte sont protégés par le même token Bearer que le reste de l'API SCIM. Utilisez le token SCIM émis depuis Organisation → SSO — le même token qui gère les requêtes /Users et /Groups. Les points de terminaison de découverte répondent avec le type de contenu application/scim+json standard.