Ctrlk

Approvisionnement automatique des collaborateurs (Provisioning / SCIM)

Qu'est-ce que le provisioning ?

Le provisioning (approvisionnement) est la synchronisation automatique et continue des utilisateurs depuis un fournisseur d'identité vers Steeple. Contrairement au SSO qui agit uniquement à l'authentification, le provisioning maintient les données à jour en permanence.

Ce qui est synchronisé automatiquement

  • Données d'identité : prénom, nom, email

  • Droits d'accès aux communautés

  • Attribution des rôles

Protocole

Steeple utilise le protocole SCIM (System for Cross-domain Identity Management). La communication est unidirectionnelle : du fournisseur d'identité vers Steeple.

Ressources synchronisées

  • Utilisateurs

  • Groupes

  • Appartenances utilisateur-groupe

Prérequis important

Le SSO doit être configuré avant le provisioning. Il n'est pas possible de configurer le provisioning seul, quel que soit le fournisseur.

Fournisseurs supportés

  • Azure Active Directory (Microsoft Entra ID)

  • Okta

Google Workspace ne supporte que le SSO, pas le provisioning SCIM.

Mapping groupes → communautés

Les groupes du fournisseur d'identité ne correspondent pas directement aux communautés Steeple. Une association intermédiaire est nécessaire : chaque groupe est lié à un couple (communauté, rôle), ce qui traduit l'appartenance au groupe en accès communautaire avec un rôle spécifique.

Recommandation : créer au moins deux groupes par communauté (contributeurs et administrateurs).

Configurer le provisioning

La configuration se fait depuis Administration > Intégrations (/administration/integrations).

Provisioning avec Azure Active Directory

  1. Dans Steeple : Administration > Intégrations > Installer > cliquer "Afficher" dans la section Identification pour obtenir l'URL SCIM et le Token Bearer

    • Le token est un secret : ne jamais le partager dans un canal non sécurisé (chat, email, ticket public)

  2. Dans Azure : Directory Overview > Provisioning > passer en mode Automatique

  3. Coller l'URL (Tenant URL) et le Token (Secret Token), tester la connexion

  4. Si besoin de soft-delete : ajouter un mapping d'expression Switch([IsSoftDeleted], , "False", "True", "True", "False") sur l'attribut active

  5. Assigner les groupes pré-créés dans "Users and Groups"

  6. Démarrer le provisionnement — Azure synchronise toutes les 25 à 40 minutes

  7. Dans Steeple : assigner les rôles aux groupes et communautés liées

  8. Vérifier que le nombre d'utilisateurs et de groupes correspond, puis activer la synchronisation

Provisioning avec Okta

  1. Dans Steeple : Administration > Intégrations > Okta SCIM > Installer pour obtenir l'URL Tenant et le Secret Token

    • Le token est un secret : ne jamais le partager dans un canal non sécurisé (chat, email, ticket public)

  2. Dans Okta : General > App Settings > activer manuellement le provisioning > sauvegarder

  3. Provisioning > Integration > configurer le connecteur SCIM :

    • Coller l'URL Tenant

    • Identifiant unique : userName

    • Cocher uniquement les cases Push

    • Mode d'authentification : HTTP Header avec le Secret Token

    • Tester puis sauvegarder

  4. Provisioning > Settings > To App : activer Create Users, Update User Attributes, Deactivate Users

  5. Assigner les utilisateurs/groupes, configurer Push Groups pour le mapping vers les communautés

  6. Activer la synchronisation dans Steeple — Okta applique les changements quasi immédiatement

Avertissements importants

  • Désactiver ou supprimer un utilisateur côté fournisseur d'identité retire l'utilisateur de l'organisation Steeple et rend ses publications invisibles

  • Seule une intervention manuelle du support peut réassigner les publications d'un utilisateur retiré

  • Tout utilisateur absent de l'annuaire d'entreprise se verra retirer tous ses accès par défaut

Options supplémentaires

  • Envoi automatique d'emails d'invitation aux utilisateurs nouvellement créés (optionnel avec SSO, car le SSO permet la connexion sans invitation)

  • Création manuelle de comptes en dehors de l'annuaire d'entreprise (ces comptes utilisent l'authentification classique email/mot de passe et doivent être supprimés manuellement)

Ce que l'assistant peut faire

L'assistant peut guider l'utilisateur vers la page Intégrations via navigate_to et expliquer les concepts de provisioning. Pour la configuration technique détaillée, orienter vers https://help.steeple.com/

PrécédentPlan de l'administration SteepleSuivantComment quitter une communauté ?

Mis à jour

Ce contenu vous a-t-il été utile ?