📖 Sommaire
Vue d’ensemble
Le système de gestion des identités inter-domaines (SCIM) permet à votre fournisseur d’identité (IdP) de provisionner, mettre à jour et déprovisionner automatiquement les utilisateurs dans Yousign.
Une fois configuré, tout changement du cycle de vie des utilisateurs dans votre IdP, comme l’arrivée de nouveaux collaborateurs, la désactivation d’utilisateurs ou les changements de rôles, est automatiquement répercuté dans Yousign.
Ce que SCIM gère dans Yousign
Provisionnement automatique des utilisateurs lorsqu’ils sont ajoutés dans votre IdP
Désactivation automatique des utilisateurs lorsqu’ils sont supprimés de votre IdP
Synchronisation automatique des noms et des rôles pour maintenir Yousign aligné avec votre IdP
Les propriétaires de l’organisation ne peuvent pas être créés, désactivés ou supprimés via le provisionnement SCIM.
Portée
Attributs synchronisés pris en charge :
Rôle
Le provisionnement basé sur les groupes n’est actuellement pas pris en charge.
Fournisseurs d’identité pris en charge
SCIM est compatible avec les fournisseurs d’identité prenant en charge SCIM 2.0 et pouvant être configurés avec le SSO Yousign.
Avant de commencer
Avant de configurer SCIM, assurez-vous de disposer des éléments suivants :
L’option SCIM et SSO activée sur votre compte
Les droits administrateur dans Yousign
Les droits administrateur dans votre fournisseur d’identité
Le Single Sign-On (SSO) déjà configuré et actif sur votre compte Yousign
SCIM ne peut être activé qu’après la configuration du SSO.
Étape 1 : Générer vos identifiants SCIM dans Yousign
Avant de configurer votre fournisseur d’identité, récupérez votre point de terminaison SCIM et générez un jeton depuis Yousign.
Connectez-vous à Yousign en tant qu’administrateur.
Accédez à Paramètres → Sécurité d’accès → SCIM.
Cliquez sur Activer.
L’activation de SCIM supprime toutes les invitations en attente.
Une fois SCIM activé, les informations utilisateur (adresse email, prénom et nom) ainsi que les invitations ne peuvent être gérées que depuis votre fournisseur d’identité jusqu’à la désactivation de SCIM.
Copiez l’URL du point de terminaison SCIM.
Cliquez sur Générer un jeton.
Copiez immédiatement le jeton et conservez-le dans un endroit sécurisé. Il ne sera plus affiché.
Vous pouvez supprimer et régénérer le jeton à tout moment depuis cette page.
La suppression du jeton l’invalide et interrompt temporairement le provisionnement jusqu’à ce que le nouveau jeton soit configuré dans votre IdP.
Étape 2 : Comprendre les rôles Yousign
La valeur du rôle envoyée par votre IdP doit correspondre à l’une des valeurs suivantes (sans distinction entre majuscules et minuscules).
Nom du rôle | Valeur de l’attribut IdP | Description |
Admin | admin | Accès complet aux paramètres de l’espace de travail, à la facturation et à la gestion des utilisateurs |
Membre | membre | Utilisateur standard pouvant envoyer et signer des documents |
Envoyez le rôle au format d’attribut SCIM suivant :
"roles": [ { "value": "admin", "type": "role" } ]Les paramètres supplémentaires ne sont pas pris en charge (par exemple primary).
Si aucun rôle n’est fourni, l’utilisateur est provisionné avec le rôle Membre par défaut.
Étape 3 : Configurer votre fournisseur d’identité
Récupérer les valeurs depuis Yousign
Récupérez les valeurs suivantes avant de configurer le provisionnement.
Paramètre | Where to find it |
URL de base SCIM | Paramètres → Sécurité d’accès → SCIM → URL du point de terminaison |
Jeton Bearer | Paramètres → Sécurité d’accès → SCIM → Jeton Bearer |
Configurer le point de terminaison SCIM et l’authentification
Saisissez les valeurs suivantes dans votre IdP.
Paramètre | Valeur |
Version SCIM | SCIM 2.0 |
URL de base | Votre URL de base SCIM Yousign (sans slash final) |
Méthode d’authentification | En-tête HTTP — Jeton Bearer |
Jeton | Your Yousign Bearer token |
Actions de provisionnement prises en charge | Push New Users; Push Profile Updates |
Champ d’identifiant unique pour les utilisateurs | Mapper vers un attribut email immuable dans votre IdP (généralement |
Configurer les mappages d’attributs requis
Mappez les attributs de votre IdP vers les attributs SCIM suivants.
Attribut SCIM | Valeur attendue | Obligatoire |
userName | Adresse email de l’utilisateur (identifiant unique immuable) | Oui |
emails[primary eq true].value | Adresse email de l’utilisateur (le domaine email doit faire partie des domaines SSO autorisés de l’organisation) | Oui |
name.givenName | Prénom de l’utilisateur | Oui |
name.familyName | Nom de famille de l’utilisateur | Oui |
active | true / false — contrôle l’activation et le déprovisionnement | Oui |
roles[type eq "role"].value | Une des valeurs suivantes : admin, member | Recommandé |
⚠️ name.givenName and name.familyName doivent respecter les limites suivantes :
Maximum 150 caractères
Caractères autorisés : lettres, chiffres, espaces, apostrophes, tirets, parenthèses et caractères accentués
Ne peuvent pas commencer ni se terminer par un espace
Ne peuvent pas contenir 10 chiffres consécutifs
Si name.givenName ou name.familyName ne respecte pas le format accepté par Yousign, ces valeurs seront ignorées lors du provisionnement.
Le compte utilisateur sera tout de même créé et l’utilisateur devra compléter ses informations lors de sa première connexion.
Opérations SCIM prises en charge
Activez ces opérations dans votre IdP lorsqu’elles sont disponibles.
Opération | Prise en charge | Effet dans Yousign |
Créer un utilisateur (POST /Users) | Oui | Provisionne un nouveau compte utilisateur |
Mettre à jour un utilisateur (PATCH /Users/{id}) | Oui | Mets à jour les informations utilisateur et le rôle |
Désactiver un utilisateur (PATCH active=false) | Oui | Suspend l’utilisateur |
Supprimer un utilisateur (DELETE /Users/{id}) | Oui | Désactive le compte utilisateur (les données sont conservées) |
Récupérer un utilisateur (GET /Users/{id}) | Oui | Permet à l’IdP de vérifier l’existence de l’utilisateur |
Lister les utilisateurs (GET /Users) | Oui | Utilisé pour la réconciliation |
Comportement en cas de limite de licences atteinte
Yousign applique des limites de licences selon votre abonnement.
Si SCIM tente de provisionner un utilisateur alors que toutes les licences sont utilisées :
L’utilisateur n’est pas créé
Les Admins et Owners reçoivent une notification par email
Le provisionnement peut reprendre après l’achat de licences supplémentaires ou le déprovisionnement d’utilisateurs, puis le redéclenchement du provisionnement
Vérifier la configuration
Après le premier cycle de provisionnement :
Accédez à Paramètres → Utilisateurs dans Yousign.
Vérifiez que les utilisateurs apparaissent avec le rôle attendu.
Consultez les journaux de provisionnement dans votre IdP.
Vérifiez que les utilisateurs peuvent s’authentifier avec le SSO.