Synchronisez automatiquement les utilisateurs et les rôles entre votre fournisseur d'identité (IdP) et Yousign grâce au protocole SCIM 2.0.
Vue d'ensemble
Le système SCIM (System for Cross-domain Identity Management) permet à votre fournisseur d'identité (IdP) de provisionner, mettre à jour et déprovisionner automatiquement les utilisateurs dans Yousign. Une fois configuré, toute modification du cycle de vie d'un utilisateur dans votre IdP — nouvelles recrues, départs, changements de rôle — est répercutée dans Yousign sans intervention manuelle.
Ce que SCIM gère dans Yousign
Provisionnement automatique des utilisateurs ajoutés dans votre IdP
Désactivation automatique des utilisateurs supprimés de votre IdP
Synchronisation des noms et des rôles — gardez les rôles Yousign synchronisés avec votre IdP
Il n'est pas possible de créer/désactiver/supprimer le propriétaire de l'organisation Yousign.
Périmètre
Rôle Attribut pris en charge
Le provisionnement basé sur les groupes n'est pas encore disponible dans cette version.
Fournisseurs d'identité pris en charge
Tous les IdP pour lesquels la configuration SSO est disponible et qui prennent en charge SCIM.
Avant de commencer
Avant de configurer SCIM, assurez-vous de disposer des éléments suivants :
Le module complémentaire SCIM et SSO activé sur votre compte
Un accès administrateur à Yousign
Un accès administrateur à votre IdP
Le Single Sign-On (SSO) déjà configuré et actif sur votre compte Yousign — SCIM nécessite que le SSO soit préalablement activé. Consultez le guide de configuration SSO si besoin.
Étape 1 — Générer vos identifiants SCIM dans Yousign
Avant de configurer votre IdP, vous devez récupérer l'endpoint SCIM et générer un token API depuis votre espace de travail Yousign.
Connectez-vous à Yousign en tant qu'administrateur.
Accédez à Paramètres → Accès et sécurité → SCIM.
Cliquez sur Activer.
Veuillez noter que toutes les invitations en attente seront supprimées. De plus, vous ne pourrez gérer que les invitations et les informations des utilisateurs (e-mail, nom, prénom) via votre IdP jusqu'à la désactivation de SCIM.
Copiez l'URL de l'endpoint SCIM — vous en aurez besoin lors de la configuration de votre IdP.
Cliquez sur Générer un jeton pour créer un Jeton d'accès.
Copiez le token immédiatement — il ne sera plus affiché. Conservez-le en lieu sûr.
Vous pouvez supprimer le token et en générer un nouveau à tout moment depuis cette page. La suppression du token l'invalidera et interrompra temporairement le provisionnement jusqu'à ce que vous mettiez à jour le token dans votre IdP.
Étape 2 — Comprendre les rôles Yousign
Yousign utilise les rôles suivants. Le rôle que vous attribuez dans votre IdP doit correspondre exactement à l'une de ces valeurs (insensible à la casse) :
Nom du rôle | Valeur de l'attribut IdP | Description |
Admin | admin | Accès complet aux paramètres de l'espace de travail, à la facturation et à la gestion des utilisateurs. |
Membre | member | Utilisateur standard pouvant envoyer et signer des documents. |
Syntaxe API attendue. Remarque : les paramètres supplémentaires ne sont pas pris en charge (par ex. primary n'est pas pris en charge).
Si aucun rôle n'est fourni, l'utilisateur sera provisionné en tant que Membre par défaut.
Étape 3 — Configurer votre IdP
Ce dont vous avez besoin depuis Yousign
Récupérez ces deux valeurs depuis Yousign avant de commencer (voir Étape 1) :
Paramètre | Valeur / Où le trouver |
URL de base SCIM | Paramètres → Accès et sécurité → SCIM → URL du point de terminaison |
Bearer Token | Paramètres → Accès et sécurité → SCIM → Jeton d'accès |
Endpoint SCIM et authentification
Saisissez les informations suivantes dans la configuration de provisionnement SCIM de votre IdP :
Paramètre | Valeur |
Version SCIM | SCIM 2.0 |
URL de base | L'URL de base SCIM Yousign (sans barre oblique finale) |
Méthode d'authentification | En-tête HTTP — Bearer token |
Token | Votre Bearer token Yousign |
Actions de provisionnement prises en charge | Push New Users ; Push Profile Updates |
Champ d'identifiant unique pour les utilisateurs | Doit correspondre à un e-mail immuable dans les attributs de votre IdP, généralement |
Mappages d'attributs requis
Votre IdP doit envoyer les attributs SCIM suivants. Mappez vos attributs d'annuaire à ces chemins SCIM :
Attribut SCIM | Valeur attendue | Requis |
userName | Adresse e-mail de l'utilisateur (identifiant unique immuable) | Oui |
emails[primary eq true].value | Adresse e-mail de l'utilisateur | Oui |
name.givenName | Prénom de l'utilisateur | Oui |
name.familyName | Nom de famille de l'utilisateur | Oui |
active | true / false — contrôle l'activation et le déprovisionnement | Oui |
roles[type eq "role"].value | L'une des valeurs : admin, member | Recommandé |
name.givenName et name.familyName doivent respecter les limitations suivantes : 150 caractères maximum. Les caractères autorisés sont : lettres, chiffres, espaces, apostrophes, tirets, parenthèses et lettres accentuées. Ne peut pas commencer ou se terminer par un espace, et ne peut pas contenir 10 chiffres consécutifs.
Si name.givenName ou name.familyName ne correspond pas au format accepté par Yousign, ces champs seront ignorés lors du provisionnement. Le compte utilisateur sera tout de même créé avec succès, mais les champs de nom resteront vides et l'utilisateur sera invité à les renseigner lors de sa première connexion.
Opérations SCIM prises en charge
Opération | Prise en charge | Effet dans Yousign |
Créer un utilisateur (POST /Users) | Oui | Provisionne un nouveau compte utilisateur |
Mettre à jour un utilisateur (PATCH /Users/{id}) | Oui | Met à jour le nom, l'e-mail ou le rôle |
Désactiver un utilisateur (PATCH active=false) | Oui | Suspend l'utilisateur |
Supprimer un utilisateur (DELETE /Users/{id}) | Oui | Supprime l'utilisateur (données conservées) |
Récupérer un utilisateur (GET /Users/{id}) | Oui | Utilisé par l'IdP pour vérifier l'existence |
Lister les utilisateurs (GET /Users) | Oui | Utilisé par l'IdP pour la réconciliation |
Comportement en cas de limite de sièges atteinte
Yousign applique une limite de licences en fonction de votre abonnement. Lorsque SCIM tente de provisionner un nouvel utilisateur et que la limite a déjà été atteinte :
L'utilisateur n'est pas créé — le provisionnement de cet utilisateur est bloqué.
Une notification par e-mail est automatiquement envoyée aux administrateurs et propriétaires pour les informer que la limite de licences a été atteinte et que le provisionnement n'a pas pu s'effectuer.
Le provisionnement reprend normalement une fois que des licences supplémentaires sont achetées ou que des utilisateurs existants sont déprovisionnés.
Vérifier la configuration
Après l'exécution de votre premier cycle de provisionnement :
Accédez à Paramètres → Utilisateurs.
Confirmez que les utilisateurs provisionnés apparaissent avec le rôle correct.
Vérifiez les journaux de provisionnement de votre IdP pour détecter les erreurs ou les utilisateurs ignorés.