Avant de commencer
Assurez-vous d’avoir :- Un accès propriétaire ou administrateur à votre espace enterprise Base44.
- Un accès administrateur au centre d’administration Microsoft Entra.
- Votre SCIM Base URL, disponible dans Settings > Auth and security.
- Une Workspace API key, disponible dans Settings > Secrets.

Configurer le provisionnement SCIM
Créez une application enterprise Entra dédiée, connectez-la à Base44, mappez vos rôles et attributs, puis activez la synchronisation automatique.Étape 1 : créer l’application SCIM
Créez une application enterprise séparée, non issue de la galerie, pour le provisionnement. Pour créer l’application SCIM :- Dans le centre d’administration Microsoft Entra, allez dans Identity > Applications > Enterprise applications.
- Cliquez sur New application, puis sur Create your own application.
- Saisissez un nom (par exemple,
Base44 SCIM Provisioning) et sélectionnez Integrate any other application you don’t find in the gallery. - Cliquez sur Create.
Étape 2 : se connecter à Base44
Pointez Entra vers votre espace de travail Base44 à l’aide de votre SCIM Base URL et d’une Workspace API key. Si vous n’avez pas encore de clé API, créez-en une d’abord. Pour créer une Workspace API key :- Dans les Settings de votre espace de travail, cliquez sur Secrets.
- Cliquez sur Create API Key.
- Saisissez un nom (par exemple,
Entra SCIM), ajoutez une description facultative, puis cliquez sur Create Key.


- Ouvrez l’application et allez dans Provisioning, puis cliquez sur Get started.
- Réglez Provisioning Mode sur Automatic.
- Sous Admin Credentials, renseignez :
- Tenant URL : votre SCIM Base URL avec
?aadOptscim062020ajouté à la fin. Le résultat ressemble àhttps://app.base44.com/scim/v2/organizations/{{WORKSPACE_ID}}?aadOptscim062020. - Secret Token : votre Workspace API key.
- Tenant URL : votre SCIM Base URL avec
- Cliquez sur Test Connection pour confirmer que la connexion fonctionne.
- Cliquez sur Save.

Étape 3 : mapper externalId
Par défaut, Entra fait correspondre les utilisateurs sur une valeur qui peut changer. MapperexternalId à objectId, un identifiant unique stable, permet à Base44 d’associer de manière fiable chaque utilisateur pour les mises à jour et les désactivations.
Pour mettre à jour le mappage :
- Sous Mappings, cliquez sur Provision Microsoft Entra ID Users.
- Dans le tableau des mappages, trouvez la ligne dont le Target attribute est exactement
externalId. - Cliquez sur cette ligne et changez le Source attribute en
objectId. - Cliquez sur Ok, puis sur Save.

externalId mappé à objectId.

Étape 4 : ajouter des attributs personnalisés
Les champs de rôle et de limite de crédits de Base44 ne figurent pas dans la liste cible par défaut d’Entra, il faut donc les ajouter avant de pouvoir les mapper. Pour ajouter les attributs :- Sur l’écran de mappage Provision Microsoft Entra ID Users, faites défiler jusqu’en bas et cochez Show advanced options.
- Cliquez sur Edit attribute list for votre application.
- Au bas de la liste, ajoutez :
- Role :
urn:base44:params:scim:schemas:extension:user:2.0:role, avec Type défini surString. - Credit limit (facultatif) :
urn:base44:params:scim:schemas:extension:user:2.0:creditLimit, avec Type défini surInteger.
- Role :
- Cliquez sur Save et confirmez la modification.

Étape 5 : créer les rôles d’application
Vous créez les rôles dans App registrations, pas dans Enterprise applications. Les enterprise applications ne servent qu’à les attribuer. Pour créer les rôles d’application :- Dans le centre d’administration Microsoft Entra, allez dans App registrations et ouvrez l’onglet All applications.
- Sélectionnez votre application SCIM.
- Cliquez sur App roles, puis sur Create app role.
- Créez un rôle distinct pour chaque niveau de permission Base44 :
admin,editoretviewer. - Dans le champ Value, saisissez la chaîne exacte attendue par Base44, en minuscules (
admin,editorouviewer). - Cliquez sur Apply.


Étape 6 : mapper role et credit limit
Entra stocke les rôles sous forme de tableau, mais Base44 attend une seule valeur texte. Le rôle doit donc être mappé via une expression plutôt qu’un mappage direct. Pour mapper le rôle :- Allez dans Enterprise applications > votre application SCIM > Provisioning > Edit attribute mapping > Provision Microsoft Entra ID Users.
- Cliquez sur Add New Mapping, ou modifiez la ligne de rôle existante.
- Définissez Mapping type sur Expression.
- Dans le champ Expression, saisissez :
SingleAppRoleAssignment([appRoleAssignments]) - Définissez Target attribute sur
urn:base44:params:scim:schemas:extension:user:2.0:role. - Définissez Match objects using this attribute sur No, et Apply this mapping sur Always.
- Cliquez sur Ok.

- Saisissez la valeur de la limite de crédits dans le profil Entra de l’utilisateur, dans un champ d’extension intégré, par exemple
extensionAttribute1. - Cliquez sur Add New Mapping et définissez Mapping type sur Direct.
- Définissez Source attribute sur
extensionAttribute1. - Définissez Target attribute sur
urn:base44:params:scim:schemas:extension:user:2.0:creditLimit. - Cliquez sur Ok, puis sur Save.
Étape 7 : attribuer et provisionner
Choisissez qui provisionner, attribuez-lui un rôle et démarrez la synchronisation. Pour attribuer des utilisateurs :- Allez dans Enterprise applications > votre application SCIM > Users and groups.
- Cliquez sur Add user/group et sélectionnez les utilisateurs ou groupes à provisionner.
- Sous Select a role, choisissez le rôle créé (
admin,editorouviewer), puis cliquez sur Assign.
- Allez dans Provisioning.
- Définissez Provisioning Status sur On.
Si le bouton Edit d’un utilisateur est grisé, cochez la case à côté de l’utilisateur, cliquez sur Remove, puis ajoutez-le à nouveau avec le bon rôle.
Étape 8 : rafraîchir les utilisateurs existants
Si vous avez modifié le mappageexternalId après le provisionnement de certains utilisateurs, rafraîchissez leurs enregistrements pour qu’ils reprennent le bon objectId.
Pour mettre à jour les utilisateurs existants :
- Allez dans Provisioning > Provision on demand.
- Recherchez l’utilisateur et exécutez le provisionnement pour corriger son enregistrement.
- Pour appliquer cela à tout le monde, revenez à la page principale Provisioning et cliquez sur Restart provisioning.
Rôles et limites de crédits
Base44 n’accepte que les rôles suivants via SCIM. Mappez vos rôles d’application Entra à ces valeurs exactes.| Rôle | Ce qu’ils peuvent faire |
|---|---|
admin | Gérer les membres, la facturation et les paramètres de l’espace de travail |
editor | Créer, modifier et exécuter des applications ; utilise les crédits du pool de l’espace |
viewer | Accès en lecture seule aux applications ; ne consomme pas de crédits |
admin et editor, car les viewers ne consomment pas de crédits. Une limite de crédits à 0 est considérée comme sans plafond. Vous pouvez aussi définir des limites de crédits directement dans votre espace, sans SCIM. Consultez Gestion des membres d’un espace enterprise.
Les propriétaires d’espace de travail ne peuvent pas être mis à jour ni désactivés via SCIM. Promouvez ou rétrogradez les propriétaires depuis les paramètres de votre espace de travail.
FAQ
Sélectionnez une question ci-dessous pour en savoir plus sur le provisionnement SCIM Entra.Ai-je besoin d'applications Entra séparées pour SSO et SCIM ?
Ai-je besoin d'applications Entra séparées pour SSO et SCIM ?
Oui. Le provisionnement SCIM utilise une Enterprise application dédiée, tandis que la connexion utilise une App registration séparée. Configurez le provisionnement sur l’Enterprise application et configurez la connexion séparément. Consultez SSO pour Microsoft Entra ID.
Pourquoi le test de connexion SCIM échoue-t-il ?
Pourquoi le test de connexion SCIM échoue-t-il ?
Vérifiez que votre Tenant URL se termine par
?aadOptscim062020 et que le Secret Token est bien votre Workspace API key issue de Settings > Secrets. Vérifiez que le SCIM Base URL a été copié depuis Settings > Auth and security et n’a pas été modifié.Pourquoi le rôle ne se synchronise-t-il pas, ou pourquoi le provisionnement échoue-t-il sur le champ role ?
Pourquoi le rôle ne se synchronise-t-il pas, ou pourquoi le provisionnement échoue-t-il sur le champ role ?
Entra stocke les rôles sous forme de tableau, un mappage Direct échoue donc. Définissez le type de mappage du rôle sur Expression et utilisez
SingleAppRoleAssignment([appRoleAssignments]). Assurez-vous que la Value de chaque rôle d’application est exactement admin, editor ou viewer en minuscules.Pourquoi mon attribut personnalisé Base44 n'est-il pas dans le menu déroulant Target attribute ?
Pourquoi mon attribut personnalisé Base44 n'est-il pas dans le menu déroulant Target attribute ?
Pourquoi les utilisateurs sont-ils mis à jour sur le mauvais enregistrement après un nouveau provisionnement ?
Pourquoi les utilisateurs sont-ils mis à jour sur le mauvais enregistrement après un nouveau provisionnement ?
Assurez-vous que
externalId est mappé à objectId. Si des utilisateurs ont été provisionnés avant que vous ne modifiiez ce mappage, utilisez Provision on demand pour rafraîchir chaque utilisateur, ou Restart provisioning pour tout rafraîchir.Cette page a été traduite à l’aide de l’IA. Pour les informations les plus précises et à jour, consultez la version anglaise.

