> ## Documentation Index
> Fetch the complete documentation index at: https://docs.base44.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configurer le provisionnement SCIM pour Okta

> Synchronisez automatiquement vos utilisateurs Okta avec votre espace enterprise Base44 via SCIM.

Le provisionnement SCIM garde les membres de votre espace enterprise Base44 synchronisés avec Okta. Les applications OIDC d'Okta ne prenant pas en charge SCIM, vous créez une application SCIM séparée, la connectez à Base44, mappez les attributs et activez le provisionnement pour que les membres soient ajoutés, mis à jour et retirés automatiquement. Pour permettre à votre équipe de se connecter, configurez séparément le [SSO pour Okta](/Enterprise/Okta-SSO).

<Warning>
  Le provisionnement SCIM est disponible uniquement pour les espaces enterprise. Si vous ne voyez pas cette option, contactez votre équipe de compte Base44.
</Warning>

***

## Avant de commencer

Assurez-vous d'avoir :

* Un accès propriétaire ou administrateur à votre espace enterprise Base44.
* Un accès administrateur à votre organisation Okta.
* Votre **SCIM Base URL**, disponible dans **Settings** > **Auth and security**.
* Une **Workspace API key**, disponible dans **Settings** > **Secrets**.

***

## Configurer le provisionnement SCIM

Créez une application SCIM dans Okta, connectez-la à Base44, mappez vos rôles et attributs, puis activez le provisionnement.

### Étape 1 : créer une application SCIM

Les applications OIDC d'Okta ne prenant pas en charge SCIM, vous avez besoin d'une application SCIM séparée.

**Pour créer l'application SCIM :**

1. Dans la console d'administration Okta, allez dans **Applications** > **Browse App Catalog**.
2. Recherchez **SCIM 2.0 Test App (Header Auth)**.
3. Cliquez sur **Add Integration**.
4. Nommez l'application (par exemple, `Base44 - SCIM Provisioning`), puis cliquez sur **Done**.

<Frame caption="Recherche de l'application SCIM 2.0 Test App dans le catalogue Okta">
  <img src="https://mintcdn.com/base44/q-0rQebcDVt4yD7e/images/Finding-SCIM.avif?fit=max&auto=format&n=q-0rQebcDVt4yD7e&q=85&s=c5b6dda3e01bfa13782813d4fe9abf57" alt="Okta App Catalog showing the SCIM 2.0 Test App" width="3592" height="2294" data-path="images/Finding-SCIM.avif" />
</Frame>

### Étape 2 : se connecter à Base44

Pointez Okta vers votre espace de travail Base44 en utilisant votre SCIM Base URL et votre Workspace API key.

**Pour configurer l'intégration API :**

1. Ouvrez votre nouvelle application SCIM et allez dans l'onglet **Provisioning**.
2. Cliquez sur **Configure API Integration**, puis cochez **Enable API integration**.
3. Définissez **SCIM 2.0 Base URL** sur votre SCIM Base URL depuis **Settings** > **Auth and security**.
4. Définissez **API Token** sur votre Workspace API key, sans préfixe `Bearer`.
5. Cliquez sur **Test API Credentials**. Vous devriez voir une confirmation de succès.
6. Cliquez sur **Save**.

<Frame caption="Saisie de votre SCIM Base URL Base44 et clé API dans Okta">
  <img src="https://mintcdn.com/base44/uvqvolhCRiuXC-Fl/images/Entering-Base44-SCIM.png?fit=max&auto=format&n=uvqvolhCRiuXC-Fl&q=85&s=73db325f7ad270887dc3294622772e95" alt="Okta SCIM API integration settings with the Base44 Base URL and API token" width="2066" height="952" data-path="images/Entering-Base44-SCIM.png" />
</Frame>

### Étape 3 : activer les actions de provisionnement

Choisissez les actions qu'Okta peut effectuer sur les membres de votre espace de travail Base44.

**Pour activer le provisionnement :**

1. Dans l'onglet **Provisioning**, cliquez sur **To App**, puis sur **Edit**.
2. Activez **Create Users**, **Update User Attributes** et **Deactivate Users**.
3. Cliquez sur **Save**.

<Frame caption="Activation de Create, Update et Deactivate dans Okta">
  <img src="https://mintcdn.com/base44/hlI9x1XC8FbBhXd9/images/scim-okta-app-provisioning.png?fit=max&auto=format&n=hlI9x1XC8FbBhXd9&q=85&s=37b3191240919cbbce0f6a2adab6905e" alt="Okta provisioning To App settings with create, update, and deactivate enabled" width="1400" height="1290" data-path="images/scim-okta-app-provisioning.png" />
</Frame>

### Étape 4 : ajouter des attributs personnalisés

Les champs role et credit limit de Base44 ne figurent pas dans le profil par défaut d'Okta, ajoutez-les d'abord. Dans le Profile Editor, vous pouvez aussi retirer les attributs que Base44 n'utilise pas, en conservant `userName`, `givenName` et `familyName`.

**Pour ajouter l'attribut `role` :**

1. Allez dans **Directory** > **Profile Editor** et ouvrez votre application SCIM.
2. Cliquez sur **Add Attribute** et définissez :
   * **Data type :** String
   * **Display name :** Role
   * **Variable name :** `role`
   * **External name :** `role`
   * **External namespace :** `urn:base44:params:scim:schemas:extension:user:2.0`
   * **Enum :** cochez **Define enumerated list of values** et ajoutez `admin`, `editor` et `viewer`.
   * **Attribute required :** No
3. Cliquez sur **Save**.

**Pour ajouter l'attribut `creditLimit` (facultatif) :**

Ignorez cette étape si vous ne voulez pas de plafonds de crédits par membre. Par défaut, il n'y a pas de plafond.

1. Dans le même Profile Editor, cliquez sur **Add Attribute** et définissez :
   * **Data type :** Integer
   * **Display name :** Credit Limit
   * **Variable name :** `creditLimit`
   * **External name :** `creditLimit`
   * **External namespace :** `urn:base44:params:scim:schemas:extension:user:2.0`
   * **Attribute required :** No
2. Cliquez sur **Save**.

<Frame caption="Ajout des attributs Base44 dans le Profile Editor d'Okta">
  <img src="https://mintcdn.com/base44/hlI9x1XC8FbBhXd9/images/scim-okta-profile-editor.png?fit=max&auto=format&n=hlI9x1XC8FbBhXd9&q=85&s=c1e47735ca5e6ac5d8e7a6de9dd4e4fe" alt="Okta Profile Editor showing the Base44 SCIM app custom attributes" width="1400" height="1094" data-path="images/scim-okta-profile-editor.png" />
</Frame>

### Étape 5 : mapper les attributs et attribuer les utilisateurs

Mappez les attributs Base44, puis attribuez des utilisateurs pour qu'ils soient provisionnés.

**Pour mapper les attributs :**

1. Allez dans votre application SCIM > **Provisioning** > **To App** > **Attribute Mappings**.
2. Définissez :
   * `userName` à `user.email`
   * `role` à `"editor"`, ou mappez-le à l'attribut de rôle de votre IdP
   * `creditLimit` à la valeur souhaitée ou à un attribut de votre IdP, si vous l'avez ajouté
3. Retirez tous les mappages non pris en charge, comme `firstName`, `lastName` et `displayName`.
4. Cliquez sur **Save**.

**Pour attribuer et tester un utilisateur :**

1. Allez dans l'onglet **Assignments**, cliquez sur **Assign**, puis sur **Assign to People**.
2. Sélectionnez un utilisateur, définissez son `role` et éventuellement son `creditLimit`, puis cliquez sur **Save and Go Back** et **Done**.
3. Vérifiez les membres de votre espace de travail Base44 pour confirmer que l'utilisateur apparaît.

<Frame caption="Un utilisateur attribué à la fois aux applications SSO et SCIM dans Okta">
  <img src="https://mintcdn.com/base44/P9saERX5zek6x00T/images/assign.png?fit=max&auto=format&n=P9saERX5zek6x00T&q=85&s=ed3abc4e3219a412ad0a3a632c0a010c" alt="Okta showing a user assigned to both the Base44 SSO and SCIM apps" width="2130" height="1208" data-path="images/assign.png" />
</Frame>

**Pour tester la désactivation :**

1. Dans l'onglet **Assignments**, cliquez sur **Unassign** à côté de l'utilisateur, puis confirmez.
2. Vérifiez que l'utilisateur n'est plus un membre actif dans Base44 et que sa place est libérée.

<Note>
  Attribuez chaque utilisateur à la fois à votre application SSO Okta et à votre application SCIM. L'attribution à la seule application SCIM provisionne l'utilisateur mais ne lui permet pas de se connecter.
</Note>

***

## Rôles et limites de crédits

Base44 n'accepte que les rôles suivants via SCIM. Mappez votre attribut `role` Okta à ces valeurs exactes.

| Rôle     | Ce qu'ils peuvent faire                                                                |
| -------- | -------------------------------------------------------------------------------------- |
| `admin`  | Gérer les membres, la facturation et les paramètres de l'espace de travail             |
| `editor` | Créer, modifier et exécuter des applications ; utilise les crédits du pool de l'espace |
| `viewer` | Accès en lecture seule aux applications ; ne consomme pas de crédits                   |

`owner`, `member` et `guest` ne peuvent pas être attribués via SCIM. Les limites de crédits ne s'appliquent qu'aux rôles `admin` et `editor`, car les viewers ne consomment pas de crédits. Une limite de crédits à `0` est considérée comme sans plafond. Vous pouvez aussi définir des limites de crédits directement dans votre espace, sans SCIM. Consultez [Gestion des membres d'un espace enterprise](/Enterprise/managing-enterprise-members#per-member-credit-limits).

<Note>
  Les propriétaires d'espace de travail ne peuvent pas être mis à jour ni désactivés via SCIM. Promouvez ou rétrogradez les propriétaires depuis les paramètres de votre espace de travail.
</Note>

***

## FAQ

Sélectionnez une question ci-dessous pour en savoir plus sur le provisionnement SCIM Okta.

<AccordionGroup>
  <Accordion title="Le test des identifiants API a échoué">
    Vérifiez que votre API token est votre Workspace API key sans préfixe `Bearer`, et que le SCIM Base URL a été copié depuis **Settings** > **Auth and security** avec le bon workspace ID.
  </Accordion>

  <Accordion title="L'option Deactivate Users est manquante">
    Les applications OIDC d'Okta ne prennent pas en charge SCIM. Utilisez plutôt **SCIM 2.0 Test App (Header Auth)** depuis le catalogue d'applications.
  </Accordion>

  <Accordion title="Un utilisateur n'est pas provisionné">
    Vérifiez les journaux de provisionnement Okta pour les erreurs et confirmez que `role` vaut `admin`, `editor` ou `viewer`. `owner`, `member` et `guest` sont rejetés.
  </Accordion>

  <Accordion title="Pourquoi dois-je attribuer les utilisateurs aux deux applications ?">
    L'application SCIM provisionne le membre, et l'application SSO lui permet de se connecter. Attribuer à une seule signifie qu'il ne peut pas se connecter ou n'est pas provisionné.
  </Accordion>
</AccordionGroup>

<Note>Cette page a été traduite à l'aide de l'IA. Pour les informations les plus précises et à jour, consultez la [version anglaise](/). </Note>
