> ## Documentation Index
> Fetch the complete documentation index at: https://docs.base44.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configurer le provisionnement SCIM pour Microsoft Entra ID

> Synchronisez automatiquement vos utilisateurs Microsoft Entra ID avec votre espace de travail Base44 enterprise via SCIM.

Le provisionnement SCIM garde les membres de votre espace enterprise Base44 synchronisés avec Microsoft Entra ID (anciennement Azure AD). Vous créez une application enterprise dédiée, la connectez à Base44, mappez les rôles et activez la synchronisation automatique pour que les membres soient ajoutés, mis à jour et retirés automatiquement. Pour permettre à votre équipe de se connecter, configurez séparément le [SSO pour Microsoft Entra ID](/Enterprise/Microsoft-Entra-SSO).

<Warning>
  Le provisionnement SCIM est disponible uniquement pour les espaces enterprise. Si vous ne voyez pas cette option, contactez votre équipe de compte Base44.
</Warning>

***

## Avant de commencer

Assurez-vous d'avoir :

* Un accès propriétaire ou administrateur à votre espace enterprise Base44.
* Un accès administrateur au [centre d'administration Microsoft Entra](https://entra.microsoft.com).
* Votre **SCIM Base URL**, disponible dans **Settings** > **Auth and security**.
* Une **Workspace API key**, disponible dans **Settings** > **Secrets**.

<Frame caption="Le SCIM Base URL se trouve dans Settings > Auth and security">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-entra.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=4a75713038920e61bb9d6f667153ba6a" alt="Base44 Auth and security settings, with the SCIM Provisioning Base URL highlighted" width="1264" height="968" data-path="images/SCIM-entra.png" />
</Frame>

***

## Configurer le provisionnement SCIM

Créez une application enterprise Entra dédiée, connectez-la à Base44, mappez vos rôles et attributs, puis activez la synchronisation automatique.

### Étape 1 : créer l'application SCIM

Créez une application enterprise séparée, non issue de la galerie, pour le provisionnement.

**Pour créer l'application SCIM :**

1. Dans le centre d'administration Microsoft Entra, allez dans **Identity** > **Applications** > **Enterprise applications**.
2. Cliquez sur **New application**, puis sur **Create your own application**.
3. Saisissez un nom (par exemple, `Base44 SCIM Provisioning`) et sélectionnez **Integrate any other application you don't find in the gallery**.
4. Cliquez sur **Create**.

### Étape 2 : se connecter à Base44

Pointez Entra vers votre espace de travail Base44 à l'aide de votre SCIM Base URL et d'une Workspace API key. Si vous n'avez pas encore de clé API, créez-en une d'abord.

**Pour créer une Workspace API key :**

1. Dans les **Settings** de votre espace de travail, cliquez sur **Secrets**.
2. Cliquez sur **Create API Key**.
3. Saisissez un nom (par exemple, `Entra SCIM`), ajoutez une description facultative, puis cliquez sur **Create Key**.

<Frame caption="Nommer la nouvelle clé API dans Settings > Secrets">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-API-Key.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=a0b4d6721d54fa6162e9edc7575b468c" alt="Base44 Create API Key dialog with a name entered" width="1813" height="948" data-path="images/SCIM-API-Key.png" />
</Frame>

Base44 affiche la clé complète une seule fois. Copiez-la avant de fermer la boîte de dialogue et conservez-la en lieu sûr, car vous l'utiliserez comme **Secret Token** ci-dessous.

<Frame caption="Copiez la clé tant qu'elle est affichée. Vous ne pourrez plus la voir après avoir fermé la boîte de dialogue.">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-new-api-key.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=1dbb003d20da92d195b3d9069b1b34b5" alt="Base44 API Key Created dialog showing the generated key" width="1777" height="937" data-path="images/SCIM-new-api-key.png" />
</Frame>

**Pour configurer le provisionnement :**

1. Ouvrez l'application et allez dans **Provisioning**, puis cliquez sur **Get started**.
2. Réglez **Provisioning Mode** sur **Automatic**.
3. Sous **Admin Credentials**, renseignez :
   * **Tenant URL :** votre SCIM Base URL avec `?aadOptscim062020` ajouté à la fin. Le résultat ressemble à `https://app.base44.com/scim/v2/organizations/{{WORKSPACE_ID}}?aadOptscim062020`.
   * **Secret Token :** votre Workspace API key.
4. Cliquez sur **Test Connection** pour confirmer que la connexion fonctionne.
5. Cliquez sur **Save**.

<Tip>
  Avant de continuer, lancez **Test Connection** et confirmez qu'il réussit. Un test en échec signifie généralement que le Tenant URL ou le Secret Token est incorrect.
</Tip>

<Frame caption="Définition du Tenant URL et du Secret Token sur l'écran Provisioning d'Entra">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/Entra-provisioning.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=2bde8648cd62a7f3ddc66ccb62d779d7" alt="Entra Provisioning admin credentials showing Provisioning Mode, Tenant URL, and Secret Token" width="1644" height="1059" data-path="images/Entra-provisioning.png" />
</Frame>

<Warning>
  Entra exige le suffixe `?aadOptscim062020` sur le Tenant URL. Sans lui, le test de connexion ou le provisionnement peut échouer. Ce suffixe est spécifique à Entra, ne l'ajoutez pas pour d'autres fournisseurs d'identité.
</Warning>

### Étape 3 : mapper externalId

Par défaut, Entra fait correspondre les utilisateurs sur une valeur qui peut changer. Mapper `externalId` à `objectId`, un identifiant unique stable, permet à Base44 d'associer de manière fiable chaque utilisateur pour les mises à jour et les désactivations.

**Pour mettre à jour le mappage :**

1. Sous **Mappings**, cliquez sur **Provision Microsoft Entra ID Users**.
2. Dans le tableau des mappages, trouvez la ligne dont le **Target attribute** est exactement `externalId`.
3. Cliquez sur cette ligne et changez le **Source attribute** en `objectId`.
4. Cliquez sur **Ok**, puis sur **Save**.

<Frame caption="Sélection de objectId comme attribut source pour externalId">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/Entra-edit-attribute.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=c8406da7373aef1680268d0d5227703c" alt="Entra Edit Attribute panel with the source attribute set to objectId" width="1306" height="1073" data-path="images/Entra-edit-attribute.png" />
</Frame>

Après l'enregistrement, le mappage mis à jour apparaît dans le tableau des attributs, avec `externalId` mappé à `objectId`.

<Frame caption="externalId mappé à objectId sur l'écran Provision Microsoft Entra ID Users">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/Configuring-the-SCIM-Connection.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=62cf0e7255b82d516c93cb0ae6506b2c" alt="Entra attribute mappings table with externalId mapped to objectId" width="1623" height="824" data-path="images/Configuring-the-SCIM-Connection.png" />
</Frame>

### Étape 4 : ajouter des attributs personnalisés

Les champs de rôle et de limite de crédits de Base44 ne figurent pas dans la liste cible par défaut d'Entra, il faut donc les ajouter avant de pouvoir les mapper.

**Pour ajouter les attributs :**

1. Sur l'écran de mappage **Provision Microsoft Entra ID Users**, faites défiler jusqu'en bas et cochez **Show advanced options**.
2. Cliquez sur **Edit attribute list for** votre application.
3. Au bas de la liste, ajoutez :
   * **Role :** `urn:base44:params:scim:schemas:extension:user:2.0:role`, avec **Type** défini sur `String`.
   * **Credit limit (facultatif) :** `urn:base44:params:scim:schemas:extension:user:2.0:creditLimit`, avec **Type** défini sur `Integer`.
4. Cliquez sur **Save** et confirmez la modification.

<Frame caption="Ajout de l'attribut role de Base44 dans Edit attribute list">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-edit-list.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=0f39296fe43cb64489a0163d2408dc03" alt="Entra Edit attribute list with the Base44 role URN added as a String" width="1639" height="957" data-path="images/SCIM-edit-list.png" />
</Frame>

### Étape 5 : créer les rôles d'application

Vous créez les rôles dans **App registrations**, pas dans **Enterprise applications**. Les enterprise applications ne servent qu'à les attribuer.

**Pour créer les rôles d'application :**

1. Dans le centre d'administration Microsoft Entra, allez dans **App registrations** et ouvrez l'onglet **All applications**.
2. Sélectionnez votre application SCIM.
3. Cliquez sur **App roles**, puis sur **Create app role**.
4. Créez un rôle distinct pour chaque niveau de permission Base44 : `admin`, `editor` et `viewer`.
5. Dans le champ **Value**, saisissez la chaîne exacte attendue par Base44, en minuscules (`admin`, `editor` ou `viewer`).
6. Cliquez sur **Apply**.

<Frame caption="Création d'un rôle d'application pour un niveau de permission Base44">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/create-app-role.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=de9d39f98226c84df4992bdc72fa5d16" alt="Entra Create app role panel" width="574" height="621" data-path="images/create-app-role.png" />
</Frame>

Créez un rôle pour chaque niveau de permission. Une fois créés, les 3 apparaissent dans la liste **App roles** de l'application.

<Frame caption="Les rôles admin, editor et viewer dans Entra">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-app-roles.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=e7c00dfa3ed50db30d624028876fbf66" alt="Entra App roles list showing the admin, editor, and viewer roles" width="1291" height="706" data-path="images/SCIM-app-roles.png" />
</Frame>

### Étape 6 : mapper role et credit limit

Entra stocke les rôles sous forme de tableau, mais Base44 attend une seule valeur texte. Le rôle doit donc être mappé via une expression plutôt qu'un mappage direct.

**Pour mapper le rôle :**

1. Allez dans **Enterprise applications** > votre application SCIM > **Provisioning** > **Edit attribute mapping** > **Provision Microsoft Entra ID Users**.
2. Cliquez sur **Add New Mapping**, ou modifiez la ligne de rôle existante.
3. Définissez **Mapping type** sur **Expression**.
4. Dans le champ **Expression**, saisissez : `SingleAppRoleAssignment([appRoleAssignments])`
5. Définissez **Target attribute** sur `urn:base44:params:scim:schemas:extension:user:2.0:role`.
6. Définissez **Match objects using this attribute** sur **No**, et **Apply this mapping** sur **Always**.
7. Cliquez sur **Ok**.

<Frame caption="Mappage du rôle avec l'expression SingleAppRoleAssignment">
  <img src="https://mintcdn.com/base44/TmPgTYCBwlWr1oF3/images/SCIM-mapping-role-field.png?fit=max&auto=format&n=TmPgTYCBwlWr1oF3&q=85&s=bea562304a4babea4a11992f1bf1cb85" alt="Entra expression mapping for the role field using SingleAppRoleAssignment" width="792" height="741" data-path="images/SCIM-mapping-role-field.png" />
</Frame>

Définir une limite de crédits est facultatif. Sans limite, le membre puise dans le pool de crédits partagé de l'espace sans plafond individuel. Ajoutez une limite de crédits uniquement si vous voulez limiter le nombre de crédits qu'un membre précis peut utiliser par mois.

**Pour mapper une limite de crédits (facultatif) :**

1. Saisissez la valeur de la limite de crédits dans le profil Entra de l'utilisateur, dans un champ d'extension intégré, par exemple `extensionAttribute1`.
2. Cliquez sur **Add New Mapping** et définissez **Mapping type** sur **Direct**.
3. Définissez **Source attribute** sur `extensionAttribute1`.
4. Définissez **Target attribute** sur `urn:base44:params:scim:schemas:extension:user:2.0:creditLimit`.
5. Cliquez sur **Ok**, puis sur **Save**.

### Étape 7 : attribuer et provisionner

Choisissez qui provisionner, attribuez-lui un rôle et démarrez la synchronisation.

**Pour attribuer des utilisateurs :**

1. Allez dans **Enterprise applications** > votre application SCIM > **Users and groups**.
2. Cliquez sur **Add user/group** et sélectionnez les utilisateurs ou groupes à provisionner.
3. Sous **Select a role**, choisissez le rôle créé (`admin`, `editor` ou `viewer`), puis cliquez sur **Assign**.

**Pour activer le provisionnement :**

1. Allez dans **Provisioning**.
2. Définissez **Provisioning Status** sur **On**.

Entra commence à synchroniser les utilisateurs attribués avec votre espace de travail Base44.

<Note>
  Si le bouton **Edit** d'un utilisateur est grisé, cochez la case à côté de l'utilisateur, cliquez sur **Remove**, puis ajoutez-le à nouveau avec le bon rôle.
</Note>

### Étape 8 : rafraîchir les utilisateurs existants

Si vous avez modifié le mappage `externalId` après le provisionnement de certains utilisateurs, rafraîchissez leurs enregistrements pour qu'ils reprennent le bon `objectId`.

**Pour mettre à jour les utilisateurs existants :**

1. Allez dans **Provisioning** > **Provision on demand**.
2. Recherchez l'utilisateur et exécutez le provisionnement pour corriger son enregistrement.
3. Pour appliquer cela à tout le monde, revenez à la page principale **Provisioning** et cliquez sur **Restart provisioning**.

***

## Rôles et limites de crédits

Base44 n'accepte que les rôles suivants via SCIM. Mappez vos rôles d'application Entra à ces valeurs exactes.

| Rôle     | Ce qu'ils peuvent faire                                                                |
| -------- | -------------------------------------------------------------------------------------- |
| `admin`  | Gérer les membres, la facturation et les paramètres de l'espace de travail             |
| `editor` | Créer, modifier et exécuter des applications ; utilise les crédits du pool de l'espace |
| `viewer` | Accès en lecture seule aux applications ; ne consomme pas de crédits                   |

Les limites de crédits ne s'appliquent qu'aux rôles `admin` et `editor`, car les viewers ne consomment pas de crédits. Une limite de crédits à `0` est considérée comme sans plafond. Vous pouvez aussi définir des limites de crédits directement dans votre espace, sans SCIM. Consultez [Gestion des membres d'un espace enterprise](/Enterprise/managing-enterprise-members#per-member-credit-limits).

<Note>
  Les propriétaires d'espace de travail ne peuvent pas être mis à jour ni désactivés via SCIM. Promouvez ou rétrogradez les propriétaires depuis les paramètres de votre espace de travail.
</Note>

***

## FAQ

Sélectionnez une question ci-dessous pour en savoir plus sur le provisionnement SCIM Entra.

<AccordionGroup>
  <Accordion title="Ai-je besoin d'applications Entra séparées pour SSO et SCIM ?">
    Oui. Le provisionnement SCIM utilise une **Enterprise application** dédiée, tandis que la connexion utilise une **App registration** séparée. Configurez le provisionnement sur l'Enterprise application et configurez la connexion séparément. Consultez [SSO pour Microsoft Entra ID](/Enterprise/Microsoft-Entra-SSO).
  </Accordion>

  <Accordion title="Pourquoi le test de connexion SCIM échoue-t-il ?">
    Vérifiez que votre Tenant URL se termine par `?aadOptscim062020` et que le Secret Token est bien votre Workspace API key issue de **Settings** > **Secrets**. Vérifiez que le SCIM Base URL a été copié depuis **Settings** > **Auth and security** et n'a pas été modifié.
  </Accordion>

  <Accordion title="Pourquoi le rôle ne se synchronise-t-il pas, ou pourquoi le provisionnement échoue-t-il sur le champ role ?">
    Entra stocke les rôles sous forme de tableau, un mappage **Direct** échoue donc. Définissez le type de mappage du rôle sur **Expression** et utilisez `SingleAppRoleAssignment([appRoleAssignments])`. Assurez-vous que la **Value** de chaque rôle d'application est exactement `admin`, `editor` ou `viewer` en minuscules.
  </Accordion>

  <Accordion title="Pourquoi mon attribut personnalisé Base44 n'est-il pas dans le menu déroulant Target attribute ?">
    Ajoutez-le d'abord. Sur l'écran de mappage, cochez **Show advanced options**, cliquez sur **Edit attribute list**, ajoutez l'URN complet (par exemple, `urn:base44:params:scim:schemas:extension:user:2.0:role`), puis enregistrez. Le champ apparaît ensuite dans le menu déroulant.
  </Accordion>

  <Accordion title="Pourquoi les utilisateurs sont-ils mis à jour sur le mauvais enregistrement après un nouveau provisionnement ?">
    Assurez-vous que `externalId` est mappé à `objectId`. Si des utilisateurs ont été provisionnés avant que vous ne modifiiez ce mappage, utilisez **Provision on demand** pour rafraîchir chaque utilisateur, ou **Restart provisioning** pour tout rafraîchir.
  </Accordion>
</AccordionGroup>

<Note>Cette page a été traduite à l'aide de l'IA. Pour les informations les plus précises et à jour, consultez la [version anglaise](/). </Note>
