Se connecterCommencer gratuitement
DocsComptes & équipeProvisioning SCIM

Provisioning SCIM

Synchronisez automatiquement la création et la désactivation des comptes depuis votre annuaire d'entreprise grâce au protocole SCIM 2.0.

Comptes & équipe5 min de lectureMis à jour le 10 juin 2026
Télécharger en PDF

Le provisioning SCIM permet à votre fournisseur d'identité (Okta, Microsoft Entra ID, anciennement Azure AD, ou tout annuaire compatible SCIM 2.0) de créer, mettre à jour et désactiver automatiquement les comptes de votre espace de travail Coffrify. Quand un collaborateur rejoint une équipe dans votre annuaire, son compte est approvisionné chez Coffrify sans intervention manuelle ; quand il quitte l'entreprise ou perd l'accès à l'application, son compte est déprovisionné dans la foulée. Cette synchronisation s'appuie sur le standard ouvert SCIM (System for Cross-domain Identity Management) et s'adresse aux comptes Entreprise. Cette page présente le mécanisme, les jetons à utiliser, les évènements à écouter et les principaux cas d'usage.

Le principe en bref

Votre annuaire devient la source de vérité des identités. Coffrify expose un point de terminaison SCIM 2.0 que votre fournisseur d'identité appelle pour refléter, en temps quasi réel, les changements de votre annuaire : ajout d'un utilisateur, modification de ses attributs, désactivation. Concrètement, l'approvisionnement crée le compte côté Coffrify lorsque l'utilisateur est affecté à l'application dans votre annuaire, et le déprovisionnement le désactive lorsqu'il en est retiré. Vous gérez l'accès à un seul endroit, votre annuaire, et Coffrify suit.

Pourquoi l'utiliser

  • Onboarding instantané : un nouvel arrivant dispose de son compte Coffrify dès son affectation dans l'annuaire, sans invitation manuelle.
  • Offboarding sûr : un départ se traduit immédiatement par une désactivation côté Coffrify, ce qui réduit la fenêtre d'accès résiduel.
  • Une seule source de vérité : les identités vivent dans votre annuaire ; Coffrify reflète l'état sans double saisie.
  • Conformité et traçabilité : chaque opération de provisioning est journalisée et auditable, et vos évènements de sécurité restent cohérents avec votre RH.

Mettre en place la connexion

Pour connecter votre annuaire, votre fournisseur d'identité a besoin de deux informations : l'URL de base SCIM de Coffrify et un jeton de provisioning dédié (le jeton SCIM). Vous générez ce jeton via l'API, vous le collez dans la configuration SCIM de votre annuaire, et la synchronisation commence. Le jeton SCIM est distinct de vos clés API cof_ habituelles : il sert uniquement au canal de provisioning et n'est affiché qu'une seule fois, à sa création.

ParamètreValeur
URL de base SCIMhttps://api.coffrify.com/scim/v2
Version du protocoleSCIM 2.0 (ressources Users et Groups)
Type de jetonJeton de provisioning dédié, préfixe scim_
Authentification côté annuaireEn-tête HTTP Authorization: Bearer (jeton SCIM)

Créer un jeton de provisioning

La création d'un jeton requiert le scope workspace:manage sur votre clé API. Donnez au jeton un nom explicite (par exemple le nom de l'annuaire et l'environnement, comme Okta production) afin de le repérer plus tard. La réponse contient la valeur du jeton dans le champ token : copiez-la immédiatement, elle ne sera plus jamais affichée. La réponse renvoie aussi scim_base_url, l'URL à renseigner dans votre annuaire.

POST/v1/scim/tokensGénère un jeton de provisioning SCIM. La valeur n'est retournée qu'une seule fois. Scope requis : workspace:manage.
import { Coffrify } from '@coffrify/sdk';
 
const coffrify = new Coffrify({ apiKey: process.env.COFFRIFY_API_KEY });
 
const created = await coffrify.scim.createToken({ name: 'Okta production' });
 
// À conserver dès maintenant : non réaffiché ensuite
console.log('Jeton SCIM :', created.token);
console.log('URL de base SCIM :', created.scim_base_url);

La réponse ressemble à ceci. Le champ warning vous rappelle de sauvegarder la valeur tout de suite, et scim_base_url vous donne l'URL à coller dans votre annuaire.

{
  "id": "scimtok_8sK2hQ",
  "name": "Okta production",
  "token_prefix": "scim_3f9a1c...",
  "created_at": "2026-06-10T09:24:00Z",
  "token": "scim_3f9a1c…(valeur complète, à copier maintenant)",
  "warning": "Save this token now - it will not be shown again. Use it as the SCIM bearer in your IdP (Okta/Azure AD).",
  "scim_base_url": "https://api.coffrify.com/scim/v2"
}

Lister et révoquer les jetons

Vous pouvez à tout moment lister les jetons de provisioning de votre espace de travail pour vérifier leur usage. Chaque entrée expose son préfixe, sa date de dernière utilisation (last_used_at), le nombre de requêtes traitées (request_count) et, le cas échéant, sa date de révocation. Pour couper l'accès d'un annuaire, révoquez le jeton correspondant : la synchronisation cesse immédiatement. La liste comme la révocation requièrent le scope workspace:manage.

GET/v1/scim/tokensListe les jetons de provisioning SCIM de l'espace de travail (préfixe et statistiques d'usage, jamais la valeur). Scope requis : workspace:manage.DELETE/v1/scim/tokens/{id}Révoque un jeton de provisioning. Renvoie 404 si le jeton est introuvable ou déjà révoqué. Scope requis : workspace:manage.
// Inventaire des jetons SCIM
const { data } = await coffrify.scim.listTokens();
for (const t of data) {
  console.log(t.name, t.token_prefix, 'requêtes :', t.request_count, 'révoqué :', t.revoked_at);
}
 
// Couper l'accès d'un annuaire
await coffrify.scim.revokeToken('scimtok_8sK2hQ');

Écouter les évènements de provisioning

Deux évènements webhook reflètent le cycle de vie SCIM et vous permettent de réagir côté applicatif, par exemple pour synchroniser un outil interne, notifier une équipe ou tracer un accès. Abonnez-vous à ces évènements depuis votre configuration de webhooks pour recevoir une notification à chaque approvisionnement ou déprovisionnement.

ÉvènementDéclenchement
scim.user_provisionedVotre annuaire a créé un utilisateur via SCIM (compte approvisionné côté Coffrify).
scim.user_deprovisionedVotre annuaire a désactivé un utilisateur via SCIM (compte déprovisionné côté Coffrify).
// Réagir à un déprovisionnement reçu par webhook
if (event.type === 'scim.user_deprovisioned') {
  await revoquerAccesInterne(event.data.email);
}

Auditer les opérations SCIM

Chaque appel de votre annuaire est journalisé. Le journal d'audit SCIM dédié vous permet de vérifier ce qui a été créé, modifié ou supprimé, et de diagnostiquer une synchronisation. Vous pouvez filtrer par type d'opération et limiter le nombre de lignes (limit entre 1 et 500, valeur par défaut 100). Ce point de terminaison requiert le scope audit:read. Les opérations reconnues sont create_user, update_user, delete_user, create_group, update_group, delete_group, list_users et list_groups.

GET/v1/scim/auditRenvoie les opérations SCIM récentes (opération, ressource concernée, statut de réponse, message d'erreur éventuel). Paramètres : limit (1-500), operation. Scope requis : audit:read.
// Les 50 derniers déprovisionnements
const log = await coffrify.scim.audit({ operation: 'delete_user', limit: 50 });
for (const row of log.data) {
  console.log(row.created_at, row.operation, row.resource_id, 'statut :', row.response_status);
}

À retenir

  • Le SCIM relie votre annuaire à Coffrify pour approvisionner et déprovisionner les comptes automatiquement (plan Entreprise).
  • Renseignez l'URL https://api.coffrify.com/scim/v2 et un jeton de provisioning (préfixe scim_) dans votre fournisseur d'identité.
  • Créez, listez et révoquez les jetons via /v1/scim/tokens (scope workspace:manage) ; la valeur n'apparaît qu'une fois.
  • Écoutez scim.user_provisioned et scim.user_deprovisioned pour réagir au cycle de vie des comptes.
  • Auditez chaque opération via /v1/scim/audit (scope audit:read).
Cette page vous a-t-elle aidé ?
Anonyme, dédupliqué 24h par signature locale.
← PrécédentSSO et SAMLSuivant →Abonnement et facturation