Configurer la synchronisation d'annuaire SCIM (provisionnement)

Une fois l'authentification unique active, CalendarBridge peut créer, mettre à jour et désactiver automatiquement des comptes utilisateurs à partir de votre fournisseur d'identité grâce à SCIM 2.0. Cela signifie que les utilisateurs sont provisionnés dès qu'ils sont attribués dans votre annuaire et déprovisionnés dès qu'ils le quittent — sans gestion manuelle des licences.

C Chad Mis à jour le 16 juin 2026 6 min de lecture

Ce que fait le provisionnement SCIM

SCIM (System for Cross-domain Identity Management) est la norme ouverte que les fournisseurs d'identité utilisent pour transmettre les changements de cycle de vie des utilisateurs aux applications. Avec SCIM activé, votre IdP envoie une requête à CalendarBridge chaque fois qu'un utilisateur est attribué, mis à jour ou supprimé, et CalendarBridge maintient automatiquement sa liste d'utilisateurs synchronisée.

Norme : SCIM 2.0.
Prérequis : une configuration SSO active pour le même domaine vérifié. Voir d'abord Configurer l'authentification unique — la section SCIM apparaît sous chaque configuration SSO active.
Qui peut la configurer : seul un administrateur d'organisation CalendarBridge.
Opérations : créer un utilisateur, mettre à jour les attributs d'un utilisateur et désactiver (déprovisionner) un utilisateur.

Votre point de terminaison et jeton SCIM

Lorsque SCIM est activé pour un domaine, l'onglet Authentification unique affiche deux valeurs dont votre fournisseur d'identité a besoin :

Valeur	Description
Point de terminaison SCIM (Base URL / Tenant URL)	L'URL de base à laquelle votre IdP envoie les requêtes SCIM. Copiez-la depuis l'onglet SSO avec le bouton Copier.
Jeton du porteur (jeton d'API / jeton secret)	Le jeton d'authentification que votre IdP présente à chaque requête. Il n'est affiché qu'une seule fois lors de sa génération ou de sa rotation — copiez-le immédiatement et stockez-le dans votre IdP.

warning

Le jeton n'est affiché qu'une seule fois Pour des raisons de sécurité, CalendarBridge affiche le jeton du porteur une seule fois. Si vous le perdez, utilisez Renouveler le jeton dans la section SCIM pour en générer un nouveau — puis mettez à jour le jeton dans votre IdP, car l'ancien jeton cesse de fonctionner immédiatement.

Authentification

CalendarBridge authentifie les requêtes SCIM avec un jeton du porteur OAuth 2.0 présenté dans l'en-tête HTTP Authorization. Saisissez le jeton dans le connecteur SCIM de votre IdP exactement comme indiqué (dans Okta, n'incluez pas le mot « Bearer » — Okta l'ajoute). Vous pouvez renouveler le jeton à tout moment depuis la section SCIM sans reconfigurer le SSO.

Ressources et attributs pris en charge

CalendarBridge implémente la ressource SCIM 2.0 Users. Les attributs que CalendarBridge lit sont indiqués ci-dessous ; les attributs supplémentaires envoyés par votre IdP sont acceptés et ignorés.

Attribut SCIM	Correspond à dans CalendarBridge	Notes
`userName`	Identifiant de connexion unique de l'utilisateur (e-mail)	Requis. Doit être sur un domaine vérifié pour l'organisation.
`emails[primary]` / `emails[work]`	Adresse e-mail	Utilisé pour associer l'utilisateur à votre domaine et au SSO.
`name.givenName`	Prénom	Renseigne le nom d'affichage.
`name.familyName`	Nom de famille	Facultatif.
`active`	Compte activé / désactivé	Définir `active=false` déprovisionne (désactive) l'utilisateur CalendarBridge.

info

Déprovisionnement Lorsqu'un utilisateur n'est plus attribué dans votre IdP, l'IdP envoie une mise à jour définissant active=false (suppression réversible), ce qui désactive l'utilisateur dans CalendarBridge et libère sa licence. Réattribuer l'utilisateur le réactive.

Activer SCIM dans votre fournisseur d'identité

Ouvrez l'onglet Authentification unique, trouvez la configuration active pour votre domaine et faites défiler jusqu'à la section SCIM. Sélectionnez votre fournisseur d'identité dans le guide intégré pour obtenir les chemins de menu exacts, puis suivez les étapes pour votre IdP ci-dessous. Dans tous les cas, vous collerez le point de terminaison SCIM et le jeton du porteur du portail.

Microsoft Entra ID (Azure AD)

Ouvrez le panneau Provisionnement de l'application

Dans le centre d'administration Microsoft Entra, accédez à Applications d'entreprise, ouvrez votre application CalendarBridge et sélectionnez Provisionnement.
Définissez le mode de provisionnement sur Automatique

Saisissez ensuite les informations d'identification : URL du locataire = le point de terminaison SCIM du portail ; Jeton secret = le jeton du porteur du portail.
Testez la connexion, puis enregistrez

Cliquez sur Tester la connexion pour confirmer qu'Entra ID peut atteindre le point de terminaison et s'authentifier, puis Enregistrer. Laissez les mappages d'attributs utilisateur par défaut.
Activez le provisionnement et attribuez les utilisateurs

Définissez l'État du provisionnement sur Activé et enregistrez. Sous Utilisateurs et groupes, attribuez les utilisateurs ou groupes à synchroniser. Entra ID les provisionne lors de son prochain cycle.

Okta

Ouvrez l'onglet Provisioning

Dans l'administration Okta, ouvrez votre application CalendarBridge, accédez à l'onglet Provisioning et cliquez sur Configure API Integration → Enable API integration.
Saisissez les informations d'identification SCIM

Base URL = le point de terminaison SCIM du portail ; API token = le jeton du porteur du portail (sans préfixe Bearer). Cliquez sur Test API Credentials, puis Save.
Activez les actions de provisionnement

Sous Provisioning → To App, activez Create Users, Update User Attributes et Deactivate Users.
Attribuez des utilisateurs ou des groupes

Attribuez des utilisateurs ou des groupes à l'application ; Okta les transmet immédiatement à CalendarBridge.

Google Workspace

Ouvrez le provisionnement automatique

Dans la console d'administration Google, accédez à Applications → Applications Web et mobiles, ouvrez votre application SAML CalendarBridge et cliquez sur Provisionnement automatique.
Saisissez les informations d'identification SCIM

Base URL = le point de terminaison SCIM du portail ; API token = le jeton du porteur du portail. Cliquez sur Tester la connexion.
Mappez les attributs

Mappez E-mail principal → userName, Prénom → name.givenName, Nom de famille → name.familyName.
Définissez la portée et activez-le

Choisissez les utilisateurs, unités organisationnelles ou groupes à provisionner, puis activez Provisionnement automatique.

info

Exigence d'édition Google Workspace Le provisionnement automatique n'est disponible que sur Google Workspace Enterprise Standard, Enterprise Plus ou Education Plus. Il n'est pas disponible sur les niveaux Business Starter/Standard/Plus.

JumpCloud

Ouvrez Identity Management

Dans l'administration JumpCloud, ouvrez votre application SAML CalendarBridge et accédez à l'onglet Identity Management.
Activez SCIM et saisissez les informations d'identification

Base URL = le point de terminaison SCIM du portail ; Token = le jeton du porteur du portail. Cliquez sur Test et Save.
Attribuez des utilisateurs ou des groupes

Attribuez des utilisateurs ou des groupes d'utilisateurs à l'application ; JumpCloud les synchronise avec CalendarBridge.

Renouveler le jeton SCIM

Si un jeton est exposé, perdu, ou si vous souhaitez simplement le renouveler régulièrement, cliquez sur Renouveler le jeton dans la section SCIM. Le nouveau jeton est affiché une seule fois ; le jeton précédent cesse de fonctionner immédiatement, alors mettez-le à jour dans le connecteur SCIM de votre IdP sans attendre pour éviter une interruption de synchronisation.

Dépannage

Symptôme	Cause probable et solution
Le test de connexion échoue avec 401 / non autorisé	Le jeton du porteur est incorrect ou a été renouvelé. Copiez le jeton actuel depuis la section SCIM (renouvelez-le si nécessaire) et resaisissez-le. Dans Okta, assurez-vous de ne pas avoir ajouté de préfixe `Bearer`.
Les utilisateurs ne sont pas créés	Vérifiez que le provisionnement est activé et que les utilisateurs sont attribués à l'application dans votre IdP, et que leur e-mail est sur un domaine vérifié.
Erreur du type « l'utilisateur doit exister sur un domaine vérifié »	Le `userName`/e-mail de l'utilisateur est sur un domaine non vérifié pour cette organisation. Ajoutez et vérifiez le domaine, ou limitez la portée du provisionnement aux domaines vérifiés.
Les utilisateurs supprimés ont toujours accès	Le déprovisionnement se produit lorsque l'IdP envoie `active=false`. Assurez-vous que Deactivate Users (ou l'équivalent de votre IdP) est activé et que l'utilisateur a bien été désattribué, et non simplement masqué.

Obtenir de l'aide

Si le provisionnement SCIM ne se comporte pas comme prévu, contactez le support CalendarBridge en indiquant le domaine de votre organisation, votre fournisseur d'identité et une description de ce qui a été attribué par rapport à ce qui a été synchronisé.