Accéder directement au contenu
Créez un compte ou connecter-vous
Logo de la documentation Stripe
/
Créez un compteConnectez-vous
AperçuVoir tous les produitsGlossaire Stripe
Commencer à développer
Solutions de démarrage rapideCréer avec un LLM
Cas d'usage fréquents
PrésentationAccepter des paiements simples en tant que startupVendez des abonnements en tant que startup SaaSCréer une solution d'abonnement avec une tarification à l'utilisationAccepter les paiements en personneEnvoyer des factures pour collecter les paiements

Configurer le provisionnement automatique des utilisateurs avec SCIMVersion bêta publique

Provisionnez et retirez automatiquement les membres de l’équipe auxquels votre fournisseur d’identité (IdP) a attribué un accès à Stripe.

Par défaut, lorsque vous configurez l’authentification unique avec SAML, les utilisateurs sont provisionnés « juste-à-temps » (JIT) la première fois qu’ils se connectent à Stripe depuis votre fournisseur d’identité. Avec SCIM, vous pouvez provisionner automatiquement les membres de l’équipe dans Stripe avant même qu’ils ne se connectent, et les déprovisionner à la demande lorsqu’ils n’ont plus besoin d’avoir accès à Stripe.

Stripe est conforme au protocole SCIM 2.0 et ne prend en charge que les fonctionnalités suivantes en version bêta publique :

Utilisateurs

  • Créer un utilisateur (et non des groupes) sur Stripe (POST /scim/v2/Users)
  • Récupérer un utilisateur depuis Stripe (GET /scim/v2/Users/<user_id>)
  • Mettre à jour un utilisateur dans Stripe (PUT /scim/v2/Users/<user_id> ou PATCH /scim/v2/Users/<user_id>)
  • Lister tous les utilisateurs dans Stripe (GET /scim/v2/Users)
  • Retirer un utilisateur de Stripe (SUPPRIMER /scim/v2/Users/<user_id>)

Behavior specific to Stripe

  • Stripe doesn’t support email updates. If you need to update the user’s email you need to re-provision the user with a new email.
  • We use the user’s email as a unique identifier for them.
  • Both user deactivation (PATCH to set active to false) and deletion (DELETE) result in deleting the user from the Stripe account.
  • The following user attributes are handled by Stripe: id, userName, displayName, active, meta. Stripe doesn’t handle other user attributes, so you don’t need to pass them in SCIM requests.

Groupes

  • Ajouter un groupe dans Stripe (POST /scim/v2/Groups)
  • Récupérer un groupe depuis Stripe (GET /scim/v2/Groups/<group_id>)
  • Mettre à jour un groupe dans Stripe (PUT /scim/v2/Groups/<group_id> ou PATCH /scim/v2/Groups/<group_id>)
  • Dresser la liste de tous les groupes dans Stripe (GET /scim/v2/Groups)
  • Retirer un groupe de Stripe (DELETE /scim/v2/Groups/<group_id>)

Behavior specific to Stripe

  • We don’t support group name updates. If you need to rename a group you need to re-provision it with a new name.

Comment ça marche

Lorsque vous activez le provisionnement SCIM, Stripe provisionne les utilisateurs et les groupes à partir des requêtes envoyées à l’endpoint SCIM Stripe, en utilisant la clé API SCIM de votre compte ou de votre organisation. Les utilisateurs existants conservent leur accès à Stripe.

Bien que SCIM gère le provisionnement des membres de l’équipe et des groupes, leurs rôles restent gérés séparément via SAML, au moyen des attributs transmis par votre fournisseur d’identité lors de la connexion ou depuis le Dashboard, selon votre configuration d’attribution des rôles.

Lorsque votre fournisseur d’identité ou client SCIM provisionne de nouveaux membres d’équipe dans Stripe, ceux-ci apparaissent automatiquement dans la liste des membres d’équipe, sous Paramètres > Équipe et sécurité > Équipe. Lorsque votre fournisseur d’identité ou client SCIM désapprovisionne des membres d’équipe, nous révoquons immédiatement leur accès et les supprimons de la liste des membres d’équipe. Les membres d’équipe déprovisionnés sont automatiquement déconnectés du Dashboard et ne peuvent plus accéder à Stripe. Si vos comptes appartiennent à une organisation, vous devez configurer à la fois l’authentification unique et le provisionnement SCIM au niveau de l’organisation. Il n’est pas possible de configurer l’authentification unique ou le SCIM pour des comptes individuels au sein d’une organisation.

Lorsque vous provisionnez un utilisateur via SCIM et que vous configurez l’attribution des rôles via SAML, l’utilisateur ne reçoit aucune autorisation tant qu’il ne s’est pas connecté.

Lorsque vous provisionnez un groupe via SCIM, l’attribution des rôles via SAML est désactivée. La synchronisation des groupes via SCIM synchronise l’appartenance des utilisateurs aux groupes dans Stripe, et Stripe vous permet d’attribuer un rôle à un groupe synchronisé dans Dashboard Stripe. Tous les membres du groupe héritent alors de ce rôle.

Vous ne pouvez pas attribuer un rôle à un utilisateur à la fois via SCIM et via SAML. Si vous attribuez un rôle à un groupe synchronisé via SCIM, l’assertion de groupe SAML est ignorée si elle est reçue dans l’entité fédérée SAML.

Configurations hybrides

Si vous attribuez un rôle via l’appartenance à un groupe synchronisé avec SCIM à un utilisateur qui s’authentifie via l’authentification unique et qui dispose déjà de rôles attribués via le Dashboard, Stripe considère que les rôles sont en union. Vous ne pouvez pas attribuer un rôle à un utilisateur à la fois via SAML et un groupe synchronisé avec SCIM. Utilisez ce guide pour passer de l’attribution de rôle basée sur SAML à l’attribution de rôle basée sur un groupe avec SCIM. Contactez le service de support si vous devez revenir à l’ancienne attribution de rôle basée sur SAML.

Avant de commencer

Before you can enable SCIM provisioning, you must first enable Single Sign-On. You can only enable SCIM provisioning in live mode accounts or organizations.

Activer le provisionnement SCIM

Pour activer le provisionnement SCIM dans votre compte ou votre organisation :

  1. Sur la page Paramètres équipe et sécurité, accédez au provisionnement SCIM et cliquez sur Activer.
  2. Copiez l’URL de votre endpoint SCIM et la clé d’API SCIM vers votre fournisseur d’identité ou votre client SCIM.

Limitations

Limites de débit

We use two types of rate limits:

  • Rate limit by the number of group memberships modified per second, and per account or organization.
    • Don’t modify more than 100 group memberships per second, per account or organization. We support bursts for up to 500 group membership modifications per second, but continuous traffic of 500 group membership modifications per second results in SCIM APIs returning a429 status code.
  • Rate limit by number of API requests per second.
    • En savoir plus sur la manière dont l’API Stripe utilise les limites d’appels pour restreindre le nombre de requêtes API par seconde.

Limites de capacité

250 groupes peuvent être synchronisés par organisation.

Configurer en Okta

Si vous configurez le provisionnement SCIM à partir d’Okta en tant que fournisseur d’identité :

  1. Ouvrez votre application Stripe.
  2. Cliquez sur l’onglet Général. Modifiez vos Paramètres App et cliquez sur Activer le provisionnement SCIM.
  3. Cliquez sur l’onglet Mise en service. Sous Paramètres, cliquez sur Intégration et Modifier.
  4. Pour URL de base du connecteur SCIM, entrez https://access.stripe.com/scim/v2.
  5. Pour Champ d’identifiant unique pour les utilisateurs, ajoutez la valeur email.
  6. Pour Actions de mise en service prises en charge, sélectionnez :
    • Push de nouveaux utilisateurs
    • Push des mises à jour de profil
    • Push Groups. Tenez compte de la limitation de fonctionnalité lorsque vous déterminez les groupes à envoyer vers Stripe via SCIM.
  7. Pour Mode d’authentification, sélectionnez HTTP Header.
  8. Pour Autorisation, entrez votre clé SCIM API comme token porteur.
  9. Cliquez sur Enregistrer.
  10. Sous l’onglet Paramètres > onglet À l’application, cliquez sur Modifier et activez les éléments suivants :
    • Créer des utilisateurs
    • Désactiver les utilisateurs

Configurer dans Entra ID

Si vous configurez le provisionnement SCIM depuis Entra ID comme IdP :

  1. Ouvrez votre application Stripe sous Applications d’entreprise.
  2. Cliquez sur Provisionnement > Connecter votre formulaire d’inscription.
  3. Pour URL du locataire, saisissez https://access.stripe.com/scim/v2.
  4. Pour Token secret, entrez votre clé SCIM API.
  5. Cliquez sur Tester la connexion > Créer.

Retard de provisionnement

Entra ID a un intervalle de provisionnement automatique fixe de 40 minutes.

Configurez dans Ping IDP

Si vous provisionnez des utilisateurs de PingOne Identity vers Stripe via SCIM :

  1. Dans la console d’administration PingOne, accédez à Intégrations > Provisionnement.
  2. Cliquez sur Nouvelle connexion.
  3. À la ligne Identity Store, cliquez sur Sélectionner.
  4. Sélectionnez la tuile SCIM Outbound, puis cliquez sur Next.
  5. Saisissez un Nom et une Description, puis cliquez sur Suivant.
  6. Dans la section Configurer l’authentification, saisissez la valeur des champs suivants :
    • URL SCIM de base : https://access.stripe.com/scim/v2.
    • Méthode d’authentification : choisissez OAuth 2 Bearer Token et définissez le Type d’autorisation sur Bearer.
  7. Cliquez sur Tester la connexion pour vérifier que PingOne peut établir une connexion à la ressource SCIM.

Désactiver le provisionnement SCIM

Pour désactiver le provisionnement SCIM :

  1. Sur la page Paramètres équipe et sécurité, accédez au provisionnement SCIM.
  2. Cliquez sur Désactiver. Votre clé SCIM API est automatiquement supprimée.

Modifier une clé API SCIM

Pour modifier votre clé API SCIM :

  1. Ouvrez le menu Développeurs et accédez aux clés API.
  2. À côté de votre clé SCIM API, cliquez sur le menu débordement () et sélectionnez Touche de rotation.
Sur cette page