Scrydon
PlateformeIdentité et provisionnement (SCIM)

Configurer SCIM avec Microsoft Entra ID

Guide pas à pas pour connecter Microsoft Entra ID à Scrydon via SCIM 2.0 pour le provisionnement automatisé des utilisateurs et des groupes.

Ce guide vous accompagne dans la configuration du provisionnement Microsoft Entra ID pour Scrydon via SCIM 2.0.

Prérequis

  • Accès administrateur d'organisation Scrydon pour ouvrir Paramètres → Plateforme → Identité.
  • Accès au tenant Microsoft Entra ID avec les droits pour créer ou modifier des applications d'entreprise.
  • Un jeton SCIM Scrydon généré depuis l'onglet Provisionnement (SCIM) dans Scrydon.

Si vous disposez déjà d'une application d'entreprise Scrydon dans Entra pour le SSO, réutilisez-la. Sinon, créez une application non-galerie uniquement pour le provisionnement.

1. Créer l'application d'entreprise

Ouvrir les applications d'entreprise

Connectez-vous au Centre d'administration Microsoft Entra et naviguez vers :

Identité → Applications → Applications d'entreprise

Créer une nouvelle application

Cliquez sur + Nouvelle application, puis choisissez Créer votre propre application.

Créer une application non-galerie

Donnez un nom à l'application, par exemple Scrydon SCIM, et choisissez :

Intégrer toute autre application introuvable dans la galerie (Non-galerie)

2. Configurer la connexion SCIM

Ouvrir l'onglet Provisionnement

Dans l'application d'entreprise, ouvrez Provisionnement dans la barre latérale gauche. Cliquez sur Démarrer s'il s'agit de la première configuration du provisionnement.

Définir le mode de provisionnement sur Automatique

Définissez le Mode de provisionnement sur Automatique.

Remplir les informations d'identification d'administration

Sous Informations d'identification d'administration, saisissez :

  • URL du tenant : votre endpoint SCIM Scrydon, par exemple :
https://auth.YOUR-TENANT.scrydon.com/api/auth/scim/v2
  • Jeton secret : le jeton SCIM généré dans Scrydon.

Collez le jeton brut uniquement. Ne le préfixez pas par Bearer et ne le mettez pas entre guillemets. Entra ajoute lui-même le préfixe bearer.

Tester la connexion

Cliquez sur Tester la connexion.

Si Entra peut atteindre Scrydon, vous verrez un message de succès en vert. Pendant cette étape, Entra sonde souvent l'endpoint SCIM ServiceProviderConfig avant de commencer le trafic de provisionnement réel.

Si le test échoue, vérifiez que l'URL se termine par /api/auth/scim/v2, que le jeton est toujours actif dans Scrydon et qu'il a été collé sans préfixe Bearer .

3. Mapper vos utilisateurs et groupes

Sous Mappages, Entra crée des entrées par défaut pour les utilisateurs et les groupes.

Utilisateurs

Ouvrez Provisionner les utilisateurs Microsoft Entra ID et examinez la liste des attributs.

  • Entra mappe généralement userPrincipalName sur userName.
  • Si Scrydon doit utiliser l'e-mail comme adresse e-mail professionnelle canonique, assurez-vous que emails[type eq "work"].value est mappé sur mail ou votre source d'e-mail choisie.
  • Supprimez les attributs que vous ne souhaitez pas envoyer.

Groupes

Ouvrez Provisionner les groupes Microsoft Entra ID et confirmez que :

  • displayName est mappé pour le nom du groupe.
  • members est mappé pour la synchronisation des membres.

Scrydon applique les mises à jour d'appartenance Entra via des requêtes SCIM PATCH, de sorte que les modifications d'appartenance aux groupes transitent par le mappage de groupe plutôt qu'un remplacement complet.

4. Définir la portée et démarrer le provisionnement

Affecter des utilisateurs et des groupes

Dans l'application d'entreprise, ouvrez Utilisateurs et groupes et affectez les utilisateurs ou groupes qui doivent se synchroniser dans Scrydon.

Choisir la portée du provisionnement

Revenez à Provisionnement, puis sous Paramètres → Portée, choisissez l'une des options :

  • Synchroniser uniquement les utilisateurs et groupes affectés : recommandé pour un premier déploiement.
  • Synchroniser tous les utilisateurs et groupes : synchronise l'intégralité de votre répertoire.

Activer le provisionnement

Définissez le Statut du provisionnement sur Activé et cliquez sur Enregistrer.

Vérifier la synchronisation initiale

Après le démarrage de la première synchronisation, vérifiez les résultats dans Scrydon :

  • Paramètres → Organisation → Membres pour les utilisateurs
  • Paramètres → Organisation → Équipes pour les groupes
  • Paramètres → Plateforme → Journaux d'audit filtré sur scim.* pour l'historique des requêtes

Comportement de synchronisation en cours

  • Après la synchronisation initiale, Entra effectue des synchronisations incrémentielles toutes les 20 à 40 minutes. Cette cadence est contrôlée par Entra, pas par Scrydon.
  • L'ajout ou la suppression d'un utilisateur de l'application Scrydon dans Entra se reflète dans Scrydon lors du prochain cycle de synchronisation.
  • La suppression d'un utilisateur de l'application Scrydon dans Entra le désactive dans Scrydon (voir comment fonctionne le déprovisionnement).
  • La réaffectation d'un utilisateur précédemment supprimé dans Entra réactive son compte Scrydon automatiquement.

Dépannage

Bannière « Le provisionnement a échoué » dans Entra

  1. Ouvrez Provisionnement → Journaux de provisionnement dans Entra.
  2. Trouvez l'événement défaillant. La colonne Détails du statut affiche l'erreur SCIM retournée par Scrydon.
  3. Comparez l'échec aux cas courants ci-dessous.

Messages d'erreur courants

ErreurSignificationCorrection
401 UnauthorizedJeton invalide, révoqué ou malforméGénérez un nouveau jeton dans Scrydon, collez le jeton brut dans Entra et testez à nouveau
400 mutability: email is immutable via SCIMEntra a tenté de modifier l'e-mail d'un utilisateur existantDéprovisionner et reprovisionner l'utilisateur plutôt que de modifier l'e-mail
400 mutability: userName is immutable via SCIMEntra a tenté de modifier le userName d'un utilisateur existantDéprovisionner et reprovisionner l'utilisateur à la place
507 Insufficient StorageL'organisation a atteint le plafond d'échelle d'utilisateurs ou de groupesContactez le support Scrydon
409 uniquenessexternalId dupliqué, ou deux identités Entra correspondent au même e-mail ScrydonRésoudre le conflit d'identité dans Entra
429 Too Many RequestsLimite de débit dépasséeEntra va se limiter et réessayer

Le provisionnement s'arrête de manière inattendue

Si Entra signale que la synchronisation s'est arrêtée après avoir fonctionné initialement :

  1. Allez dans Provisionnement → Vue d'ensemble dans l'application Scrydon dans Entra.
  2. Cliquez sur Effacer l'état actuel et redémarrer la synchronisation.
  3. Cliquez sur Enregistrer.

Si le problème persiste, vérifiez que le jeton SCIM n'a pas été révoqué dans Scrydon.

Sur cette page

Sur cette page

Prérequis1. Créer l'application d'entrepriseOuvrir les applications d'entrepriseCréer une nouvelle applicationCréer une application non-galerie2. Configurer la connexion SCIMOuvrir l'onglet ProvisionnementDéfinir le mode de provisionnement sur AutomatiqueRemplir les informations d'identification d'administrationTester la connexion3. Mapper vos utilisateurs et groupesUtilisateursGroupes4. Définir la portée et démarrer le provisionnementAffecter des utilisateurs et des groupesChoisir la portée du provisionnementActiver le provisionnementVérifier la synchronisation initialeComportement de synchronisation en coursDépannageBannière « Le provisionnement a échoué » dans EntraMessages d'erreur courantsLe provisionnement s'arrête de manière inattendue
Edit on GitHubCréer un ticket de documentation