Entreprise

Provisionnement SCIM depuis votre fournisseur d'identité

Arrivées, mutations et départs circulent automatiquement depuis votre IdP — pas d'administration manuelle de comptes, pas d'accès orphelin en attente de devenir un constat d'audit.

Le provisionnement SCIM connecte Ciao à votre fournisseur d'identité afin que les comptes utilisateurs soient créés, mis à jour et désactivés automatiquement à mesure que votre annuaire change. Contrairement à l'administration manuelle des comptes, SCIM supprime l'étape humaine où le départ échoue le plus souvent : lorsqu'un utilisateur est désactivé dans votre IdP, le changement se propage à Ciao, et les actions d'administration associées atterrissent dans la piste d'audit en ajout seul que vos évaluateurs peuvent inspecter.

Idéal pourÉquipes IT et identitéResponsables des revues d'accèsÉvaluateurs sécurité examinant le départ des utilisateurs

Publié 2026-07-03 · Dernière mise à jour 2026-07-03

Les comptes orphelins sont des constats d'audit en attente

Chaque revue d'accès les trouve : des comptes appartenant à des personnes ayant changé de rôle ou quitté l'entreprise il y a des mois, encore actifs car le déprovisionnement dépendait d'un ticket que personne n'a jamais déposé. Dans la plupart des outils SaaS, c'est un problème d'exposition. Dans une plateforme où un utilisateur connecté peut demander des changements sur un logiciel de production, c'est aussi un problème de contrôle des changements — un compte que personne ne possède, avec la capacité de proposer des changements sur des systèmes dont votre entreprise dépend.

SCIM existe pour supprimer l'étape manuelle. Votre fournisseur d'identité fait déjà foi sur qui travaille ici et à quel groupe chacun appartient ; SCIM fait de Ciao un abonné à cette vérité plutôt qu'une liste séparée qu'un administrateur doit se souvenir de réconcilier.

Les auditeurs convergent vers la même vue : les revues d'accès qui dépendent d'une réconciliation manuelle accumulent des constats, et l'automatisation du cycle de vie est le correctif reconnu. Si votre organisation exploite déjà SCIM pour ses autres systèmes critiques, l'étendre à la plateforme qui construit et déploie les logiciels est le mouvement cohérent — et si Ciao serait votre première intégration SCIM, les étapes de déploiement ci-dessous sont délibérément prudentes.

Ce que couvre le provisionnement SCIM

La couverture s'étend aux événements de cycle de vie que vos revues d'accès testent réellement :

  • Création de compte — Les utilisateurs affectés à Ciao dans votre IdP obtiennent des comptes provisionnés automatiquement — pas de file de demandes, pas de création manuelle.
  • Mises à jour des attributs — Les changements de nom et de profil proviennent de l'annuaire, si bien que la fiche du compte suit la personne sans intervention administrative.
  • Correspondance groupe-rôle — Les groupes IdP peuvent être associés aux rôles Ciao, si bien que le contrôle d'accès basé sur les rôles est piloté par la structure d'annuaire que votre équipe gouverne déjà.
  • Désactivation — Lorsque votre IdP désactive un utilisateur, son accès à Ciao est retiré dans le cadre du flux de cycle de vie — l'étape le plus souvent manquée par le départ manuel.
  • Un registre d'audit — Les changements de provisionnement sont des actions d'administration, et les actions d'administration sont enregistrées dans la piste d'audit en ajout seul aux côtés des prompts, fusions et déploiements.

Comment se déroule un déploiement

  1. 1. Partir du SSO

    SCIM suppose que le SSO via SAML ou OIDC est en place, si bien que l'authentification et le provisionnement partagent une même source d'identité.

  2. 2. Connecter l'IdP

    Configurez l'intégration SCIM dans votre fournisseur d'identité pendant l'intégration, l'équipe entreprise accompagnant vos ingénieurs identité.

  3. 3. Associer les groupes aux rôles

    Décidez quels groupes IdP correspondent à quels rôles et périmètres de projet Ciao, et consignez la correspondance — elle devient partie de votre documentation de contrôle d'accès.

  4. 4. Piloter avec un groupe

    Affectez un petit groupe, puis vérifiez que les événements de création, mise à jour et désactivation arrivent comme prévu avant d'étendre. Incluez au moins une désactivation dans le pilote — c'est l'événement le plus important et celui que les équipes oublient le plus souvent de tester.

  5. 5. Vérifier dans la piste d'audit

    Confirmez que les événements de provisionnement apparaissent comme actions d'administration dans la piste en ajout seul, afin que vos revues d'accès disposent de preuves plutôt que d'hypothèses.

SCIM, SSO, RBAC et la piste d'audit comme un seul système

Ces quatre contrôles sont conçus pour être examinés ensemble. Le SSO répond à comment les gens s'authentifient ; SCIM répond à comment les comptes viennent à exister et cessent d'exister ; le contrôle d'accès basé sur les rôles répond à ce qu'une personne authentifiée peut faire ; et la piste d'audit en ajout seul enregistre ce qu'elle a réellement fait — prompts, fusions, déploiements et actions d'administration. Un évaluateur peut suivre une seule personne depuis un groupe d'annuaire jusqu'à un rôle Ciao puis jusqu'à une action précise enregistrée, ce qui est la traçabilité que la plupart des référentiels de contrôle d'accès demandent réellement.

En pratique, cette combinaison change la texture d'une revue d'accès. Plutôt que d'interroger les administrateurs sur ce qu'ils pensent qu'il s'est passé, l'évaluateur lit ce qui s'est passé : l'événement d'annuaire, le rôle résultant, les actions menées sous ce rôle. Le temps de revue passe de la collecte de preuves au jugement, ce qui est sa place légitime.

Événements de cycle de vie et leur effet

À utiliser comme liste de contrôle pour votre pilote : exécutez chaque événement avec un utilisateur test et vérifiez l'effet.

Événement de cycle de vieCe qui se passe dans CiaoOù le vérifier
Utilisateur affecté dans l'IdPCompte provisionné avec le rôle correspondantActions d'administration dans la piste d'audit
Les attributs changentFiche de compte mise à jour depuis l'annuaireDétail du compte et piste d'audit
L'appartenance au groupe changeLe rôle et le périmètre associés suivent l'annuaireConfiguration RBAC et piste d'audit
Utilisateur désactivé dans l'IdPAccès Ciao retiré via le flux de cycle de viePiste d'audit et revue d'accès
Contenu de l'espace de travailApplications et code restent la propriété de l'espace de travailExport de code disponible à tout moment

Notes de vérification

Le provisionnement est un contrôle que votre équipe doit tester, pas prendre pour acquis. Pendant l'évaluation, exécutez le cycle de vie de bout en bout avec un utilisateur test — affecter, mettre à jour, désactiver — et observez les résultats dans la piste d'audit. Les spécificités d'intégration pour votre IdP sont couvertes pendant l'intégration, et le dossier de sécurité, disponible sur demande via la page de contact, documente l'architecture d'identité pour les évaluateurs qui ont besoin du détail par écrit.

Si votre déploiement a des contraintes inhabituelles — comptes partagés à éliminer, prestataires sur un IdP séparé, migrations par étapes — mettez-les par écrit à l'équipe entreprise avant le pilote, afin que la configuration soit conçue pour votre réalité plutôt qu'ajustée après coup.

Questions fréquentes

Quels fournisseurs d'identité peuvent piloter le provisionnement SCIM ?

SCIM est un standard, et les fournisseurs d'identité que les entreprises exploitent habituellement — Okta, Microsoft Entra ID et similaires — l'implémentent. Confirmez votre IdP spécifique et sa configuration avec l'équipe entreprise pendant l'intégration.

Qu'advient-il du travail d'une personne lorsqu'elle est déprovisionnée ?

Son accès est retiré ; le travail ne disparaît pas. Les applications et le code appartiennent à l'espace de travail, avec 100 % de propriété du code et un export vers votre propre dépôt disponible à tout moment — le départ d'une personne n'échoue jamais le logiciel.

SCIM remplace-t-il le provisionnement juste-à-temps ?

Ils résolvent des moitiés différentes. Le JIT crée un compte à la première connexion ; SCIM gère le cycle de vie continu, y compris les mises à jour et la désactivation. De nombreux déploiements utilisent le JIT pendant le pilote et SCIM pour le déploiement complet.

Les actions de provisionnement et de déprovisionnement sont-elles journalisées ?

Oui. Ce sont des actions d'administration, enregistrées dans la piste d'audit en ajout seul aux côtés des prompts, fusions et déploiements — si bien que les revues d'accès peuvent citer des événements enregistrés plutôt que des captures d'écran.

Comment valider SCIM avant de le déployer à l'échelle de l'entreprise ?

Pilotez avec un groupe test : affectez, modifiez les attributs, changez de groupe, désactivez, et vérifiez chaque événement dans la piste d'audit. L'équipe entreprise appuie le pilote, et le dossier de sécurité documente l'architecture d'identité examinée.

Pages associées

Obtenez le dossier sécurité.

Provisionnement des utilisateurs SCIM | Ciao