À retenir
Le but du SCIM est d'automatiser la mise à jour de votre base d'utilisateurs via votre fournisseur d'accès à Kamaé afin de ne plus avoir à gérer une masse d'utilisateurs à la main.
Les ajouts d'utilisateurs à l'application Kamaé dans votre fournisseur d'accès sont automatiquement répercutés sur Kamaé.
Les modifications d'utilisateurs existants sont également prises en compte.
Les suppressions d'utilisateurs de votre fournisseur d'accès sont, elles aussi, répercutées sur Kamaé.
Cette "suppression" est d’abord une désactivation pour 3 mois puis une suppression réelle de Kamaé.
Compatibilité
Fournisseur d'identités | Compatibilité |
Microsoft Entra ID | ✅ |
Okta | ✅ |
PingOne | ✅ |
Google Workspace | ✅ |
Microsoft ADFS | ⛔ |
Keycloak | ⛔ |
LemonLDAP | ⛔ |
Bonnes pratiques et points de vigilance
Le SCIM est une option à laquelle il faut souscrire. Si votre licence ne la comprend pas et que vous souhaitez la mettre en place, merci de contacter le support directement depuis la plateforme.
Vous devez être accompagné par notre équipe technique pour la mise en place du SCIM.
Le SCIM nécessite le SSO.
Lorsque des noms d'équipes ou des informations sur les utilisateurs sont mises à jour, elles ne seront répercutées dans le tableau de bord que le week-end suivant.
Impacts sur l'interface
Lorsque le SCIM est activé, certaines fonctionnalités de la plateforme sont désactivées, notamment la gestion des équipes et des utilisateurs.
Pour récupérer la possibilité de gérer les équipes et les utilisateurs de la plateforme, vous devez désactiver le SCIM dans votre fournisseur d'identité.
Exemple pour Microsoft Entra ID:
Mapping des propriétés Utilisateur
Les propriétés synchronisées avec Kamaé sont les suivantes :
Kamaé | SCIM | Entra ID (défaut) |
Identifiant | externalId | objectId |
Prénom | name.familyName | givenName |
Nom | name.givenName | surname |
userName | ||
Langue | preferredLanguage | preferredLanguage |
Nom de l'équipe | urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department | department |
Statut (actif) | active | - |
Mapping des propriétés Groupe
Les propriétés synchronisées avec Kamaé sont les suivantes :
Champ Kamaé | Champ SCIM | Entra ID (défaut) |
Identifiant de l'équipe | externalId | objectId |
Nom d'équipe | displayName | displayName |
Microsoft Entra ID
La configuration de ce champ department peut être faite via l'onglet Approvisionnement de la page de l'application.
Puis dans Modifier les mappages d'attributs
Puis Provision Microsoft Entra ID Users
Trois solutions s'offrent alors à vous dans le type de mappage :
Direct
Constante
Expression
Dans le cas d'un mappage direct, il s'agit de faire correspondre un champ de chaque utilisateur de l'AD directement à ce champ department.
Dans le cas d'un mappage constant, il s'agit de faire correspondre une valeur fixe à ce champ (par conséquent tout le monde aura la même équipe).
Dans le cas d'un mappage d'expression, nous allons pouvoir utiliser les expressions d'Entra ID afin de faire correspondre des valeurs complexes à ce champ department. Pour cela, nous pourrons utiliser le générateur d'expressions d'Entra ID pour nous aider dans cette configuration.
Choix de la fonction à utiliser (dans notre cas
Join)Dans le cas de la fonction
Joinle séparateur entre les argumentsLes arguments (statique ou dynamique)
Attention :
Le premier champ pour arguments ne fonctionne pas avec les valeurs dynamiques (pas d'auto-complétion)
Bouton pour ajouter de nouvelles valeurs
Bouton pour ajouter l'expression au résultat (6)
Champs résultat
Attention :
Le bouton Ajouter une expression (5) ne remplace pas l'expression dans le champ résultat (6), mais l'ajoute. Par conséquent, entre chaque modification de l'expression, il est recommandé de vider le champ résultat (6)
Sélection de l'utilisateur à utiliser pour le test de l'expression (ou l'utilisation de valeur statique)
Bouton pour tester l'expression contenue dans le champ résultat (6)
Résultat du test avec les erreurs le cas échéant
Google Workspace
Le cas Google Workspace est unique : il ne s'agit en réalité pas du protocole SCIM mais d'une synchronisation via les API de Google.
Lors de la configuration, vous pouvez choisir un ou plusieurs groupes à synchroniser avec Kamaé.
Limitation : seul le champ "department" est utilisé pour dériver le nom de l'équipe.
Vous pouvez retrouver à tout moment votre config sur le portail de Cryptr.
Pour aller plus loin
Si vous souhaitez gérer vos équipes ou l'état de vos collaborateurs (activé/désactivé) depuis Kamaé, il est possible de le faire depuis l'interface ou l'import csv sur demande auprès du support.
Cette demande changera le mode de gestion pour que vous puissiez gérer vos équipes en dehors du SCIM. Toute modification d'équipe via le SCIM sera alors ignorée. Les créations d'utilisateurs, quant à elles, continueront à s'appuyer sur le champ Département pour l'assignation initiale de l'équipe.