> For the complete documentation index, see [llms.txt](https://help.steeple.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://help.steeple.com/administration/provisioning-scim.md).

# Approvisionnement automatique des collaborateurs (Provisioning / SCIM)

### Qu'est-ce que le provisioning ?

Le provisioning (approvisionnement) est la synchronisation automatique et continue des utilisateurs depuis un fournisseur d'identité vers Steeple. Contrairement au SSO qui agit uniquement à l'authentification, le provisioning maintient les données à jour en permanence.

#### Ce qui est synchronisé automatiquement

* **Données d'identité** : prénom, nom, email
* **Droits d'accès** aux communautés
* **Attribution des rôles**

#### Protocole

Steeple utilise le protocole **SCIM** (System for Cross-domain Identity Management). La communication est **unidirectionnelle** : du fournisseur d'identité vers Steeple.

#### Ressources synchronisées

* Utilisateurs
* Groupes
* Appartenances utilisateur-groupe

### Prérequis important

Le **SSO doit être configuré avant le provisioning**. Il n'est pas possible de configurer le provisioning seul, quel que soit le fournisseur.

### Fournisseurs supportés

* **Azure Active Directory** (Microsoft Entra ID)
* **Okta**

Google Workspace ne supporte que le SSO, pas le provisioning SCIM.

### Mapping groupes → communautés

Les groupes du fournisseur d'identité ne correspondent pas directement aux communautés Steeple. Une **association intermédiaire** est nécessaire : chaque groupe est lié à un couple (communauté, rôle), ce qui traduit l'appartenance au groupe en accès communautaire avec un rôle spécifique.

**Recommandation** : créer au moins **deux groupes par communauté** (contributeurs et administrateurs).

### Configurer le provisioning

La configuration se fait depuis **Administration** > **Intégrations** (`/administration/integrations`).

#### Provisioning avec Azure Active Directory

1. Dans Steeple : Administration > Intégrations > Installer > cliquer "Afficher" dans la section Identification pour obtenir l'**URL SCIM** et le **Token Bearer**
   * Le token est un secret : ne jamais le partager dans un canal non sécurisé (chat, email, ticket public)
2. Dans Azure : Directory Overview > Provisioning > passer en mode **Automatique**
3. Coller l'URL (Tenant URL) et le Token (Secret Token), tester la connexion
4. Si besoin de soft-delete : ajouter un mapping d'expression `Switch([IsSoftDeleted], , "False", "True", "True", "False")` sur l'attribut **active**
5. Assigner les groupes pré-créés dans "Users and Groups"
6. Démarrer le provisionnement — **Azure synchronise toutes les 25 à 40 minutes**
7. Dans Steeple : assigner les rôles aux groupes et communautés liées
8. Vérifier que le nombre d'utilisateurs et de groupes correspond, puis activer la synchronisation

#### Provisioning avec Okta

1. Dans Steeple : Administration > Intégrations > Okta SCIM > Installer pour obtenir l'**URL Tenant** et le **Secret Token**
   * Le token est un secret : ne jamais le partager dans un canal non sécurisé (chat, email, ticket public)
2. Dans Okta : General > App Settings > activer manuellement le provisioning > sauvegarder
3. Provisioning > Integration > configurer le connecteur SCIM :
   * Coller l'URL Tenant
   * Identifiant unique : **userName**
   * Cocher uniquement les cases **Push**
   * Mode d'authentification : **HTTP Header** avec le Secret Token
   * Tester puis sauvegarder
4. Provisioning > Settings > To App : activer **Create Users**, **Update User Attributes**, **Deactivate Users**
5. Assigner les utilisateurs/groupes, configurer Push Groups pour le mapping vers les communautés
6. Activer la synchronisation dans Steeple — **Okta applique les changements quasi immédiatement**

### Avertissements importants

* **Désactiver ou supprimer un utilisateur** côté fournisseur d'identité **retire l'utilisateur de l'organisation Steeple** et rend ses publications invisibles
* Seule une intervention manuelle du support peut réassigner les publications d'un utilisateur retiré
* Tout utilisateur absent de l'annuaire d'entreprise se verra **retirer tous ses accès** par défaut

### Options supplémentaires

* **Envoi automatique d'emails d'invitation** aux utilisateurs nouvellement créés (optionnel avec SSO, car le SSO permet la connexion sans invitation)
* **Création manuelle de comptes** en dehors de l'annuaire d'entreprise (ces comptes utilisent l'authentification classique email/mot de passe et doivent être supprimés manuellement)

### Ce que l'assistant peut faire

L'assistant peut guider l'utilisateur vers la page **Intégrations** via navigate\_to et expliquer les concepts de provisioning. Pour la configuration technique détaillée, orienter vers <https://help.steeple.com/>


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://help.steeple.com/administration/provisioning-scim.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.