Skip to main content
Le provisionnement SCIM garde les membres de votre espace enterprise Base44 synchronisés avec Microsoft Entra ID (anciennement Azure AD). Vous créez une application enterprise dédiée, la connectez à Base44, mappez les rôles et activez la synchronisation automatique pour que les membres soient ajoutés, mis à jour et retirés automatiquement. Pour permettre à votre équipe de se connecter, configurez séparément le SSO pour Microsoft Entra ID.
Le provisionnement SCIM est disponible uniquement pour les espaces enterprise. Si vous ne voyez pas cette option, contactez votre équipe de compte Base44.

Avant de commencer

Assurez-vous d’avoir :
  • Un accès propriétaire ou administrateur à votre espace enterprise Base44.
  • Un accès administrateur au centre d’administration Microsoft Entra.
  • Votre SCIM Base URL, disponible dans Settings > Auth and security.
  • Une Workspace API key, disponible dans Settings > Secrets.
Base44 Auth and security settings, with the SCIM Provisioning Base URL highlighted

Configurer le provisionnement SCIM

Créez une application enterprise Entra dédiée, connectez-la à Base44, mappez vos rôles et attributs, puis activez la synchronisation automatique.

Étape 1 : créer l’application SCIM

Créez une application enterprise séparée, non issue de la galerie, pour le provisionnement. Pour créer l’application SCIM :
  1. Dans le centre d’administration Microsoft Entra, allez dans Identity > Applications > Enterprise applications.
  2. Cliquez sur New application, puis sur Create your own application.
  3. Saisissez un nom (par exemple, Base44 SCIM Provisioning) et sélectionnez Integrate any other application you don’t find in the gallery.
  4. Cliquez sur Create.

Étape 2 : se connecter à Base44

Pointez Entra vers votre espace de travail Base44 à l’aide de votre SCIM Base URL et d’une Workspace API key. Si vous n’avez pas encore de clé API, créez-en une d’abord. Pour créer une Workspace API key :
  1. Dans les Settings de votre espace de travail, cliquez sur Secrets.
  2. Cliquez sur Create API Key.
  3. Saisissez un nom (par exemple, Entra SCIM), ajoutez une description facultative, puis cliquez sur Create Key.
Base44 Create API Key dialog with a name entered
Base44 affiche la clé complète une seule fois. Copiez-la avant de fermer la boîte de dialogue et conservez-la en lieu sûr, car vous l’utiliserez comme Secret Token ci-dessous.
Base44 API Key Created dialog showing the generated key
Pour configurer le provisionnement :
  1. Ouvrez l’application et allez dans Provisioning, puis cliquez sur Get started.
  2. Réglez Provisioning Mode sur Automatic.
  3. Sous Admin Credentials, renseignez :
    • Tenant URL : votre SCIM Base URL avec ?aadOptscim062020 ajouté à la fin. Le résultat ressemble à https://app.base44.com/scim/v2/organizations/{{WORKSPACE_ID}}?aadOptscim062020.
    • Secret Token : votre Workspace API key.
  4. Cliquez sur Test Connection pour confirmer que la connexion fonctionne.
  5. Cliquez sur Save.
Avant de continuer, lancez Test Connection et confirmez qu’il réussit. Un test en échec signifie généralement que le Tenant URL ou le Secret Token est incorrect.
Entra Provisioning admin credentials showing Provisioning Mode, Tenant URL, and Secret Token
Entra exige le suffixe ?aadOptscim062020 sur le Tenant URL. Sans lui, le test de connexion ou le provisionnement peut échouer. Ce suffixe est spécifique à Entra, ne l’ajoutez pas pour d’autres fournisseurs d’identité.

Étape 3 : mapper externalId

Par défaut, Entra fait correspondre les utilisateurs sur une valeur qui peut changer. Mapper externalId à objectId, un identifiant unique stable, permet à Base44 d’associer de manière fiable chaque utilisateur pour les mises à jour et les désactivations. Pour mettre à jour le mappage :
  1. Sous Mappings, cliquez sur Provision Microsoft Entra ID Users.
  2. Dans le tableau des mappages, trouvez la ligne dont le Target attribute est exactement externalId.
  3. Cliquez sur cette ligne et changez le Source attribute en objectId.
  4. Cliquez sur Ok, puis sur Save.
Entra Edit Attribute panel with the source attribute set to objectId
Après l’enregistrement, le mappage mis à jour apparaît dans le tableau des attributs, avec externalId mappé à objectId.
Entra attribute mappings table with externalId mapped to objectId

Étape 4 : ajouter des attributs personnalisés

Les champs de rôle et de limite de crédits de Base44 ne figurent pas dans la liste cible par défaut d’Entra, il faut donc les ajouter avant de pouvoir les mapper. Pour ajouter les attributs :
  1. Sur l’écran de mappage Provision Microsoft Entra ID Users, faites défiler jusqu’en bas et cochez Show advanced options.
  2. Cliquez sur Edit attribute list for votre application.
  3. Au bas de la liste, ajoutez :
    • Role : urn:base44:params:scim:schemas:extension:user:2.0:role, avec Type défini sur String.
    • Credit limit (facultatif) : urn:base44:params:scim:schemas:extension:user:2.0:creditLimit, avec Type défini sur Integer.
  4. Cliquez sur Save et confirmez la modification.
Entra Edit attribute list with the Base44 role URN added as a String

Étape 5 : créer les rôles d’application

Vous créez les rôles dans App registrations, pas dans Enterprise applications. Les enterprise applications ne servent qu’à les attribuer. Pour créer les rôles d’application :
  1. Dans le centre d’administration Microsoft Entra, allez dans App registrations et ouvrez l’onglet All applications.
  2. Sélectionnez votre application SCIM.
  3. Cliquez sur App roles, puis sur Create app role.
  4. Créez un rôle distinct pour chaque niveau de permission Base44 : admin, editor et viewer.
  5. Dans le champ Value, saisissez la chaîne exacte attendue par Base44, en minuscules (admin, editor ou viewer).
  6. Cliquez sur Apply.
Entra Create app role panel
Créez un rôle pour chaque niveau de permission. Une fois créés, les 3 apparaissent dans la liste App roles de l’application.
Entra App roles list showing the admin, editor, and viewer roles

Étape 6 : mapper role et credit limit

Entra stocke les rôles sous forme de tableau, mais Base44 attend une seule valeur texte. Le rôle doit donc être mappé via une expression plutôt qu’un mappage direct. Pour mapper le rôle :
  1. Allez dans Enterprise applications > votre application SCIM > Provisioning > Edit attribute mapping > Provision Microsoft Entra ID Users.
  2. Cliquez sur Add New Mapping, ou modifiez la ligne de rôle existante.
  3. Définissez Mapping type sur Expression.
  4. Dans le champ Expression, saisissez : SingleAppRoleAssignment([appRoleAssignments])
  5. Définissez Target attribute sur urn:base44:params:scim:schemas:extension:user:2.0:role.
  6. Définissez Match objects using this attribute sur No, et Apply this mapping sur Always.
  7. Cliquez sur Ok.
Entra expression mapping for the role field using SingleAppRoleAssignment
Définir une limite de crédits est facultatif. Sans limite, le membre puise dans le pool de crédits partagé de l’espace sans plafond individuel. Ajoutez une limite de crédits uniquement si vous voulez limiter le nombre de crédits qu’un membre précis peut utiliser par mois. Pour mapper une limite de crédits (facultatif) :
  1. Saisissez la valeur de la limite de crédits dans le profil Entra de l’utilisateur, dans un champ d’extension intégré, par exemple extensionAttribute1.
  2. Cliquez sur Add New Mapping et définissez Mapping type sur Direct.
  3. Définissez Source attribute sur extensionAttribute1.
  4. Définissez Target attribute sur urn:base44:params:scim:schemas:extension:user:2.0:creditLimit.
  5. Cliquez sur Ok, puis sur Save.

Étape 7 : attribuer et provisionner

Choisissez qui provisionner, attribuez-lui un rôle et démarrez la synchronisation. Pour attribuer des utilisateurs :
  1. Allez dans Enterprise applications > votre application SCIM > Users and groups.
  2. Cliquez sur Add user/group et sélectionnez les utilisateurs ou groupes à provisionner.
  3. Sous Select a role, choisissez le rôle créé (admin, editor ou viewer), puis cliquez sur Assign.
Pour activer le provisionnement :
  1. Allez dans Provisioning.
  2. Définissez Provisioning Status sur On.
Entra commence à synchroniser les utilisateurs attribués avec votre espace de travail Base44.
Si le bouton Edit d’un utilisateur est grisé, cochez la case à côté de l’utilisateur, cliquez sur Remove, puis ajoutez-le à nouveau avec le bon rôle.

Étape 8 : rafraîchir les utilisateurs existants

Si vous avez modifié le mappage externalId après le provisionnement de certains utilisateurs, rafraîchissez leurs enregistrements pour qu’ils reprennent le bon objectId. Pour mettre à jour les utilisateurs existants :
  1. Allez dans Provisioning > Provision on demand.
  2. Recherchez l’utilisateur et exécutez le provisionnement pour corriger son enregistrement.
  3. Pour appliquer cela à tout le monde, revenez à la page principale Provisioning et cliquez sur Restart provisioning.

Rôles et limites de crédits

Base44 n’accepte que les rôles suivants via SCIM. Mappez vos rôles d’application Entra à ces valeurs exactes.
RôleCe qu’ils peuvent faire
adminGérer les membres, la facturation et les paramètres de l’espace de travail
editorCréer, modifier et exécuter des applications ; utilise les crédits du pool de l’espace
viewerAccès en lecture seule aux applications ; ne consomme pas de crédits
Les limites de crédits ne s’appliquent qu’aux rôles admin et editor, car les viewers ne consomment pas de crédits. Une limite de crédits à 0 est considérée comme sans plafond. Vous pouvez aussi définir des limites de crédits directement dans votre espace, sans SCIM. Consultez Gestion des membres d’un espace enterprise.
Les propriétaires d’espace de travail ne peuvent pas être mis à jour ni désactivés via SCIM. Promouvez ou rétrogradez les propriétaires depuis les paramètres de votre espace de travail.

FAQ

Sélectionnez une question ci-dessous pour en savoir plus sur le provisionnement SCIM Entra.
Oui. Le provisionnement SCIM utilise une Enterprise application dédiée, tandis que la connexion utilise une App registration séparée. Configurez le provisionnement sur l’Enterprise application et configurez la connexion séparément. Consultez SSO pour Microsoft Entra ID.
Vérifiez que votre Tenant URL se termine par ?aadOptscim062020 et que le Secret Token est bien votre Workspace API key issue de Settings > Secrets. Vérifiez que le SCIM Base URL a été copié depuis Settings > Auth and security et n’a pas été modifié.
Entra stocke les rôles sous forme de tableau, un mappage Direct échoue donc. Définissez le type de mappage du rôle sur Expression et utilisez SingleAppRoleAssignment([appRoleAssignments]). Assurez-vous que la Value de chaque rôle d’application est exactement admin, editor ou viewer en minuscules.
Ajoutez-le d’abord. Sur l’écran de mappage, cochez Show advanced options, cliquez sur Edit attribute list, ajoutez l’URN complet (par exemple, urn:base44:params:scim:schemas:extension:user:2.0:role), puis enregistrez. Le champ apparaît ensuite dans le menu déroulant.
Assurez-vous que externalId est mappé à objectId. Si des utilisateurs ont été provisionnés avant que vous ne modifiiez ce mappage, utilisez Provision on demand pour rafraîchir chaque utilisateur, ou Restart provisioning pour tout rafraîchir.
Cette page a été traduite à l’aide de l’IA. Pour les informations les plus précises et à jour, consultez la version anglaise.