Scrydon
PlateformeIdentité et provisionnement (SCIM)

Configurer SCIM avec OneLogin

Guide pas à pas pour connecter OneLogin à Scrydon via SCIM 2.0 et automatiser le provisionnement des utilisateurs et des groupes.

Ce guide vous explique comment connecter OneLogin à Scrydon afin que les utilisateurs et les groupes OneLogin soient automatiquement provisionnés dans votre organisation Scrydon.

Prérequis

  • Rôle admin d'organisation Scrydon.
  • Compte OneLogin avec les privilèges Super User ou Account Owner.
  • SSO déjà configuré entre OneLogin et Scrydon. Terminez la configuration SSO depuis Paramètres → Plateforme → Identité → Single Sign-On avant de continuer.

OneLogin ne dispose pas d'une application Scrydon dédiée dans son catalogue. Nous utilisons le connecteur générique SCIM Provisioner with SAML (SCIM v2 Core), qui prend en charge toute cible SCIM conforme à la RFC 7644 — Scrydon inclus.

Partie 1 — Générer un token SCIM Scrydon

Ouvrir la page des paramètres d'identité

Connectez-vous à Scrydon en tant qu'administrateur d'organisation et accédez à Paramètres → Plateforme → Identité.

Passer à l'onglet Provisionnement

Cliquez sur l'onglet Provisionnement (SCIM) à côté de Single Sign-On.

Copier l'URL du point de terminaison SCIM

Sous Point de terminaison SCIM, copiez l'URL du tenant. Elle ressemble à :

https://auth.YOUR-TENANT.scrydon.com/api/auth/scim/v2

Générer un token de provisionnement

Cliquez sur Générer un token. Saisissez un libellé tel que onelogin-prod et cliquez sur Générer.

Le token brut est affiché une seule fois. Copiez-le immédiatement. Scrydon ne peut plus l'afficher ensuite.

Partie 2 — Ajouter l'application de provisionnement SCIM dans OneLogin

Ouvrir le portail d'administration OneLogin

Connectez-vous à OneLogin en tant que Super User ou Account Owner. Accédez à Applications → Applications et cliquez sur Ajouter une application.

Rechercher le connecteur SCIM

Dans la zone de recherche, saisissez SCIM Provisioner with SAML (SCIM v2 Core). Sélectionnez-le dans les résultats.

Enregistrer l'application initiale

Donnez au connecteur un nom explicite comme Scrydon (SCIM) et cliquez sur Enregistrer. OneLogin crée l'application et affiche ses onglets de configuration.

Partie 3 — Configurer la connexion SCIM

Ouvrir l'onglet Configuration

Cliquez sur l'onglet Configuration dans la nouvelle application SCIM.

Coller l'URL SCIM Scrydon

Trouvez le champ intitulé SCIM Base URL (OneLogin peut l'étiqueter Subdomain selon la version du connecteur). Collez l'URL du tenant issue de Scrydon :

https://auth.YOUR-TENANT.scrydon.com/api/auth/scim/v2

Coller le token de provisionnement Scrydon

Trouvez le champ SCIM Bearer Token et collez le token brut que vous avez généré en Partie 1.

Activer la connexion API

Sous Connexion API, cliquez sur Activer. OneLogin teste la connexion en appelant le point de terminaison /scim/v2/ServiceProviderConfig de Scrydon avec le bearer token.

En cas de succès, l'indicateur de statut devient vert.

Si l'authentification échoue : vérifiez que l'URL de base SCIM se termine par /scim/v2 (sans barre oblique finale), que le bearer token ne contient pas d'espace, et que le token n'a pas été révoqué dans Scrydon.

Enregistrer la configuration

Cliquez sur Enregistrer en haut de la page.

Partie 4 — Activer le provisionnement

Ouvrir l'onglet Provisionnement

Cliquez sur l'onglet Provisionnement dans l'application SCIM Scrydon.

Activer le provisionnement

Sous Workflow, cochez Activer le provisionnement.

Définir les exigences d'approbation des administrateurs

Configurez si les administrateurs OneLogin doivent approuver les opérations Créer, Supprimer et Mettre à jour avant qu'elles soient transmises à Scrydon.

Scrydon recommande d'activer l'approbation lors du déploiement initial pour pouvoir détecter toute action de provisionnement inattendue avant qu'elle n'atteigne la production. Désactivez l'approbation une fois que vous êtes certain que la synchronisation fonctionne correctement.

Définir le comportement de suppression des utilisateurs

Sous Lorsque des utilisateurs sont supprimés dans OneLogin, effectuer l'action suivante dans l'application :

Sélectionnez Supprimer.

Même si ce paramètre dit « Supprimer », Scrydon effectue une suppression logique : l'utilisateur est désactivé (banni + sessions révoquées + appartenance à l'organisation supprimée), mais l'enregistrement de l'utilisateur est conservé dans Scrydon à des fins d'audit. Il s'agit de l'option la plus sûre et correspond au comportement sémantique « Supprimer » de OneLogin avec la plupart des cibles SCIM d'entreprise.

Sous Lorsque les comptes utilisateurs sont suspendus dans OneLogin, sélectionnez Suspendre — cela correspond également au comportement de suppression logique de Scrydon.

Enregistrer et continuer

Cliquez sur Enregistrer.

Partie 5 — Configurer le provisionnement des groupes

Actualiser les droits

Toujours dans l'onglet Provisionnement, faites défiler jusqu'à la section Droits et cliquez sur Actualiser. OneLogin interroge Scrydon pour obtenir la liste des groupes disponibles via GET /scim/v2/Groups.

Ouvrir l'onglet Paramètres

Cliquez sur l'onglet Paramètres.

Activer le paramètre Groupes

Sous Paramètres optionnels, cliquez sur Groupes. Dans la boîte de dialogue, cochez Inclure dans le provisionnement des utilisateurs et cliquez sur Enregistrer.

Créer une règle d'attribution automatique de groupe

Cliquez sur l'onglet Règles, puis sur Nouvelle règle.

Exemple de règle qui synchronise les utilisateurs OneLogin du rôle Ingénierie dans l'équipe Scrydon engineering :

ChampValeur
Nom de la règleEngineering → Scrydon team
ConditionRôles → inclure → Engineering
ActionDéfinir les groupes dans Scrydon → engineering

Enregistrez la règle. OneLogin attribuera automatiquement les utilisateurs correspondants à l'équipe Scrydon spécifiée lors de la synchronisation.

Partie 6 — Attribuer des utilisateurs et lancer la première synchronisation

Attribuer des utilisateurs à l'application Scrydon

Accédez à Utilisateurs → Utilisateurs dans OneLogin. Sélectionnez un utilisateur, faites défiler jusqu'à la section Applications et cliquez sur +. Ajoutez l'application SCIM Scrydon.

Répétez l'opération pour chaque utilisateur à provisionner, ou utilisez une attribution basée sur les rôles OneLogin pour une attribution en masse.

Déclencher la synchronisation initiale

Depuis la page de l'application SCIM Scrydon, cliquez sur Autres actions → Synchroniser les connexions. OneLogin envoie tous les utilisateurs attribués à Scrydon.

Vérifier dans Scrydon

Dans Scrydon, vérifiez Paramètres → Organisation → Membres pour les utilisateurs provisionnés et Paramètres → Organisation → Équipes pour les groupes synchronisés.

Consultez Paramètres → Plateforme → Journaux d'audit avec le filtre scim.* pour voir l'activité de provisionnement.

Gérer l'intégration

Supprimer un utilisateur

Vous pouvez soit :

  • Désattribuer l'utilisateur de l'application Scrydon dans OneLogin (accédez à la section Applications de l'utilisateur et cliquez sur l'icône de suppression à côté de Scrydon), ou
  • Suspendre / supprimer l'utilisateur dans OneLogin — le comportement de suppression de l'application s'applique (voir Partie 4, Étape 5).

Dans les deux cas, Scrydon effectue une suppression logique : l'utilisateur est désactivé mais l'enregistrement est conservé.

Si le même utilisateur est ensuite rajouté dans OneLogin, Scrydon réactive automatiquement l'enregistrement existant — l'historique d'audit et les ressources possédées sont restaurés. Aucune action manuelle côté Scrydon n'est requise.

Renouveler le token

  1. Dans Scrydon, accédez à Paramètres → Plateforme → Identité → Provisionnement (SCIM) et générez un nouveau token avec un nouveau libellé (par ex. onelogin-rotated-2026-04-08).
  2. Dans OneLogin, accédez à l'application SCIM Scrydon → Configuration → collez le nouveau token dans SCIM Bearer TokenEnregistrer.
  3. Cliquez sur Autres actions → Synchroniser les connexions pour vérifier que le nouveau token fonctionne.
  4. Une fois confirmé, revenez dans Scrydon et révoquez l'ancien token.

Résolution des problèmes

Messages d'erreur courants

ErreurSignificationCorrection
401 UnauthorizedToken invalide ou révoquéRégénérez le token dans Scrydon, mettez à jour la configuration OneLogin
400 mutability: email is immutable via SCIMTentative de modification de l'email d'un utilisateur existantSupprimez et recréez l'utilisateur à la place
400 mutability: userName is immutable via SCIMTentative de modification de userNameIdem
507 Insufficient StorageLimite d'évolutivité atteinteContactez le support
409 uniquenessexternalId en double ou deux identités OneLogin associées au même email ScrydonRésolvez le conflit dans OneLogin
429 Too Many RequestsLimite de débit dépasséeOneLogin réessaie automatiquement

« La liste des groupes est vide » dans les droits OneLogin

Cela signifie que OneLogin peut atteindre le point de terminaison /scim/v2/Groups de Scrydon mais qu'il n'existe pas encore de groupes. Créez au moins une équipe dans Scrydon (ou envoyez un groupe depuis OneLogin en premier), puis cliquez à nouveau sur Actualiser dans la section des droits.

Utilisateur supprimé directement dans Scrydon

Ne supprimez pas directement des utilisateurs dans Scrydon s'ils sont toujours gérés par OneLogin. La prochaine synchronisation de OneLogin échouera avec 404 Not Found pour cet utilisateur. Déprovisionner toujours via OneLogin pour que l'état reste cohérent.

Si cela se produit accidentellement, réattribuez l'utilisateur dans OneLogin et exécutez Synchroniser les connexions — OneLogin recréera l'utilisateur via SCIM.

Opérations non prises en charge

OpérationComportement
Modification de l'email d'un utilisateur via OneLoginRejeté avec 400
Modification du userName d'un utilisateur via OneLoginRejeté avec 400
Renommage d'un groupe synchronisé dans OneLoginPATCH OneLogin accepté, nom de l'équipe Scrydon non mis à jour
Rôles OneLogin imbriqués → équipe Scrydon uniqueLes règles OneLogin s'appliquent aux utilisateurs ayant le rôle directement attribué. Les utilisateurs qui héritent du rôle via une relation parent/enfant ne sont pas synchronisés à moins que le rôle parent soit également ciblé par une règle. Pour les hiérarchies de groupes vraiment imbriquées, Scrydon prend en charge jusqu'à 3 niveaux d'imbrication de groupes SCIM — structurez vos règles dans OneLogin en conséquence.
Profondeur d'imbrication de groupe supérieure à 3Rejeté par Scrydon avec 400 invalidValue ("nested group depth exceeds 3")
Principaux de service / comptes machineNon synchronisés
Sur cette page

Sur cette page

PrérequisPartie 1 — Générer un token SCIM ScrydonOuvrir la page des paramètres d'identitéPasser à l'onglet ProvisionnementCopier l'URL du point de terminaison SCIMGénérer un token de provisionnementPartie 2 — Ajouter l'application de provisionnement SCIM dans OneLoginOuvrir le portail d'administration OneLoginRechercher le connecteur SCIMEnregistrer l'application initialePartie 3 — Configurer la connexion SCIMOuvrir l'onglet ConfigurationColler l'URL SCIM ScrydonColler le token de provisionnement ScrydonActiver la connexion APIEnregistrer la configurationPartie 4 — Activer le provisionnementOuvrir l'onglet ProvisionnementActiver le provisionnementDéfinir les exigences d'approbation des administrateursDéfinir le comportement de suppression des utilisateursEnregistrer et continuerPartie 5 — Configurer le provisionnement des groupesActualiser les droitsOuvrir l'onglet ParamètresActiver le paramètre GroupesCréer une règle d'attribution automatique de groupePartie 6 — Attribuer des utilisateurs et lancer la première synchronisationAttribuer des utilisateurs à l'application ScrydonDéclencher la synchronisation initialeVérifier dans ScrydonGérer l'intégrationSupprimer un utilisateurRenouveler le tokenRésolution des problèmesMessages d'erreur courants« La liste des groupes est vide » dans les droits OneLoginUtilisateur supprimé directement dans ScrydonOpérations non prises en charge
Edit on GitHubCréer un ticket de documentation