Configurer SCIM avec Okta
Guide pas à pas pour connecter Okta à Scrydon via SCIM 2.0 pour le provisionnement automatisé des utilisateurs et des groupes.
Ce guide vous explique comment connecter Okta à Scrydon afin que les utilisateurs et les groupes Okta soient automatiquement provisionnés dans votre organisation Scrydon.
Prérequis
- Rôle d'administrateur de l'organisation Scrydon.
- Tenant Okta avec des privilèges de Super Admin (ou un rôle d'admin personnalisé pouvant créer et configurer des applications avec provisionnement).
- SSO déjà configuré entre Okta et Scrydon. Terminez la configuration SSO depuis
Paramètres → Plateforme → Identité → Single Sign-Onavant de continuer.
L'intégration SCIM d'Okta réutilise la même application Okta qui héberge la connexion SSO. Ne créez pas une seconde application pour SCIM — configurez le provisionnement sur l'application Scrydon existante.
Partie 1 — Générer un jeton SCIM Scrydon
Ouvrir la page des paramètres d'identité
Connectez-vous à Scrydon en tant qu'admin de l'organisation et accédez à Paramètres → Plateforme → Identité.
Passer à l'onglet Provisionnement
Cliquez sur l'onglet Provisionnement (SCIM) à côté de Single Sign-On.
Copier l'URL du point de terminaison SCIM
Sous Point de terminaison SCIM, copiez l'URL du tenant. Elle ressemble à :
https://auth.YOUR-TENANT.scrydon.com/api/auth/scim/v2Générer un jeton de provisionnement
Cliquez sur Générer un jeton. Saisissez un libellé comme okta-prod et cliquez sur Générer.
Le jeton brut est affiché une seule fois. Copiez-le immédiatement. Scrydon ne peut pas l'afficher à nouveau.
Partie 2 — Activer le provisionnement dans Okta
Ouvrir l'application Scrydon dans Okta
Connectez-vous à la console d'administration Okta et accédez à Applications → Applications. Ouvrez l'application Scrydon que vous avez créée lors de la configuration SSO.
Ouvrir l'onglet Provisionnement
Cliquez sur l'onglet Provisionnement en haut de la page de l'application.
Configurer l'intégration SCIM
Cliquez sur Configurer l'intégration API. Cochez Activer l'intégration API.
Deux champs apparaissent :
| Champ | Valeur |
|---|---|
| URL de base SCIM 2.0 | L'URL du tenant depuis Scrydon, ex. https://auth.YOUR-TENANT.scrydon.com/api/auth/scim/v2 |
| Jeton Bearer OAuth | Le jeton brut généré en Partie 1 |
Tester les informations d'identification API
Cliquez sur Tester les informations d'identification API. Okta envoie une requête au point de terminaison /scim/v2/ServiceProviderConfig de Scrydon.
En cas de succès, vous verrez « Les informations d'identification API ont été vérifiées avec succès. »
Si le test échoue : vérifiez que l'URL de base se termine par /scim/v2 (sans barre oblique finale), que le jeton bearer ne contient pas d'espace supplémentaire, et que le jeton n'a pas été révoqué dans Scrydon.
Enregistrer l'intégration
Cliquez sur Enregistrer. Des sous-onglets de provisionnement supplémentaires apparaissent : Vers l'application et Vers Okta.
Partie 3 — Activer les fonctionnalités de provisionnement
Ouvrir les paramètres « Vers l'application »
Cliquez sur Provisionnement → Vers l'application → Modifier.
Activer les opérations prises en charge
Activez ces opérations :
- ✅ Créer des utilisateurs — crée un utilisateur dans Scrydon lorsqu'il est assigné dans Okta
- ✅ Mettre à jour les attributs utilisateur — propage les modifications d'attributs (nom, etc.)
- ✅ Désactiver les utilisateurs — désactive l'utilisateur dans Scrydon lorsqu'il est désassigné dans Okta
- ❌ Synchroniser le mot de passe — ne pas activer. Les utilisateurs Scrydon s'authentifient via SSO, pas via des mots de passe synchronisés par SCIM. Laissez cette option désactivée.
Cliquez sur Enregistrer.
Vérifier les mappages d'attributs
Faites défiler jusqu'à la section Mappages d'attributs Scrydon. Les mappages par défaut sont compatibles avec Scrydon ; vérifiez notamment :
| Attribut Scrydon | Mappage |
|---|---|
userName | user.login ou user.email |
emails[type eq "work"].value | user.email (requis) |
name.givenName | user.firstName |
name.familyName | user.lastName |
externalId | user.id (identifiant stable Okta) |
Scrydon utilise l'e-mail comme clé de réconciliation principale. Les utilisateurs ayant la même adresse e-mail qui existent déjà dans Scrydon seront automatiquement liés plutôt que dupliqués.
Partie 4 — Assigner des utilisateurs et des groupes
Ouvrir l'onglet Assignations
Cliquez sur l'onglet Assignations de l'application Scrydon dans Okta.
Assigner des utilisateurs ou des groupes
Cliquez sur Assigner → Assigner à des personnes (pour les utilisateurs individuels) ou Assigner → Assigner à des groupes (pour les groupes).
Recherchez les utilisateurs ou groupes que vous souhaitez provisionner. Cliquez sur Assigner à côté de chacun, puis sur Terminé.
Pousser les groupes Okta vers Scrydon
Cliquez sur l'onglet Pousser des groupes.
Cliquez sur Pousser des groupes → Trouver des groupes par nom, saisissez le nom du groupe, puis cliquez sur Enregistrer. Okta commence à synchroniser le groupe et ses membres vers Scrydon.
Les groupes Okta poussés deviennent des Équipes Scrydon. Le nom d'affichage du groupe dans Okta devient le nom de l'équipe dans Scrydon.
Partie 5 — Vérifier la synchronisation
Vérifier les utilisateurs dans Scrydon
Dans Scrydon, accédez à Paramètres → Organisation → Membres. Les utilisateurs Okta assignés devraient apparaître en une ou deux minutes après l'assignation.
Vérifier les équipes dans Scrydon
Accédez à Paramètres → Organisation → Équipes. Les groupes Okta poussés devraient apparaître en tant qu'Équipes Scrydon avec les listes de membres correctes.
Consulter le journal d'audit
Accédez à Paramètres → Plateforme → Journaux d'audit et filtrez sur les événements commençant par scim.. Vous devriez voir des entrées comme :
scim.user.provisioned— nouvel utilisateur crééscim.user.linked— utilisateur Scrydon existant lié à une identité Okta par e-mailscim.group.created— nouvelle équipe provisionnée depuis un push de groupe Okta
Importer des utilisateurs existants
Si vous avez déjà des utilisateurs dans Okta que vous souhaitez lier à des comptes Scrydon existants, utilisez la fonctionnalité Import d'Okta :
- Accédez à l'onglet Import de l'application Scrydon dans Okta.
- Cliquez sur Importer maintenant. Okta récupère la liste des utilisateurs depuis Scrydon via
GET /scim/v2/Users. - Vérifiez les correspondances. Okta établit automatiquement les correspondances par adresse e-mail.
- Confirmez les assignations.
Okta prend alors en charge la gestion de ces utilisateurs — les modifications ultérieures dans Okta se propagent à Scrydon via la synchronisation de provisionnement standard.
Dépannage
Messages d'erreur courants
| Erreur | Signification | Correction |
|---|---|---|
401 Unauthorized | Jeton invalide ou révoqué | Régénérez le jeton dans Scrydon et collez-le dans Okta |
400 mutability: email is immutable via SCIM | Tentative de modification de l'e-mail d'un utilisateur via Okta | Désactivez puis réactivez l'utilisateur |
400 mutability: userName is immutable via SCIM | Tentative de modification du userName via Okta | Identique à ci-dessus |
507 Insufficient Storage | Plafond d'échelle atteint | Contactez le support |
409 uniqueness | externalId en double, ou deux identités Okta mappées au même e-mail Scrydon | Okta gère généralement cela en convertissant POST en PUT automatiquement. Si cela persiste, résolvez le doublon dans Okta. |
429 Too Many Requests | Limite de débit dépassée | Okta réessaie automatiquement |
Réactivation d'utilisateurs précédemment supprimés
Si vous désassignez un utilisateur de l'application Scrydon dans Okta puis le réassignez ultérieurement, Scrydon réactive le même compte — l'historique d'audit, les ressources possédées et les liens d'identité sont tous préservés. Aucune étape manuelle d'administration côté Scrydon n'est nécessaire.
Utilisateurs sans prénom ni nom de famille
Le comportement par défaut d'Okta est de bloquer l'import des utilisateurs dont le firstName ou lastName est manquant. Il s'agit d'une contrainte côté Okta, pas d'une exigence Scrydon — Scrydon accepte lui-même les utilisateurs avec uniquement userName et emails. Si vous rencontrez ce problème, renseignez les champs de nom dans Okta ou assouplissez les règles d'import d'Okta.
Collisions de noms de groupes
Si vous poussez un groupe Okta dont le nom d'affichage correspond à une équipe Scrydon existante, Scrydon crée une nouvelle équipe avec un nom suffixé, ex. Engineering (SCIM). Cela évite la fusion accidentelle de groupes non liés. Si vous souhaitez lier un groupe poussé à une équipe Scrydon existante, renommez l'un d'eux dans l'interface.
Opérations non prises en charge
| Opération | Comportement |
|---|---|
| Modifier l'e-mail d'un utilisateur via Okta | Rejeté avec 400 |
Modifier le userName d'un utilisateur via Okta | Rejeté avec 400 |
| Renommer un groupe poussé | PATCH Okta accepté mais l'équipe Scrydon n'est pas renommée |
| Supprimer un groupe poussé | Lien SCIM supprimé, équipe Scrydon préservée avec l'historique |
| Groupes imbriqués au-delà de 3 niveaux | Rejeté avec 400 invalidValue ("nested group depth exceeds 3") |
| Cycles de groupes imbriqués | Rejeté avec 400 invalidValue ("nested group would create a cycle") |
| Principaux de service / comptes machine | Non synchronisés |
| Push de mot de passe | Non pris en charge — Scrydon utilise SSO |