# Configurer le provisionnement SCIM Provisionnez et retirez automatiquement les membres de l’équipe auxquels votre fournisseur d’identité (IdP) a attribué un accès à Stripe. Par défaut, lorsque vous configurez l’authentification unique avec SAML, les utilisateurs sont provisionnés « juste-à-temps » (JIT) la première fois qu’ils se connectent à Stripe depuis votre fournisseur d’identité. Avec SCIM, vous pouvez provisionner automatiquement les membres de l’équipe dans Stripe avant même qu’ils ne se connectent, et les déprovisionner à la demande lorsqu’ils n’ont plus besoin d’avoir accès à Stripe. Stripe est conforme au protocole SCIM 2.0 et ne prend en charge que les fonctionnalités suivantes en version bêta publique : ### Utilisateurs - Provisionner un utilisateur sur Stripe (`POST /scim/v2/Users`). - Récupérer un utilisateur depuis Stripe (`GET /scim/v2/Users/`) - Mettre à jour un utilisateur dans Stripe (`PUT /scim/v2/Users/` ou `PATCH /scim/v2/Users/`) - Lister tous les utilisateurs dans Stripe (`GET /scim/v2/Users`) - Retirer un utilisateur de Stripe (`SUPPRIMER /scim/v2/Users/`) > #### Comportement spécifique à Stripe > > - Stripe ne prend pas en charge la mise à jour des e-mails. Si vous devez mettre à jour l’adresse e-mail de l’utilisateur, vous devez fournir une nouvelle adresse e-mail à l’utilisateur. - Nous utilisons l’adresse e-mail de l’utilisateur comme identifiant unique pour ce dernier. - La désactivation (`PATCH` pour définir `active` sur `false`) et la suppression (`DELETE`) d’un utilisateur entraînent toutes deux la suppression de l’utilisateur du compte Stripe. - Les attributs utilisateur suivants sont gérés par Stripe : `id`, `userName`, `displayName`, `active`, `meta`. Stripe ne gère pas les autres attributs utilisateur, vous n’avez donc pas besoin de les transmettre dans les requêtes SCIM. ### Groupes - Ajouter un groupe dans Stripe (`POST /scim/v2/Groups`) - Récupérer un groupe depuis Stripe (`GET /scim/v2/Groups/`) - Mettre à jour un groupe dans Stripe (`PUT /scim/v2/Groups/` ou `PATCH /scim/v2/Groups/`) - Dresser la liste de tous les groupes dans Stripe (`GET /scim/v2/Groups`) - Retirer un groupe de Stripe (`DELETE /scim/v2/Groups/`) > #### Comportement spécifique à Stripe > > - Nous ne prenons pas en charge la mise à jour des noms de groupe. Si vous devez renommer un groupe, vous devez le recréer avec un nouveau nom. ## Comment ça marche Lorsque vous activez le provisionnement SCIM, Stripe provisionne les utilisateurs et les groupes à partir des requêtes envoyées à l’endpoint SCIM Stripe, en utilisant la clé API SCIM de votre compte ou de votre organisation. Les utilisateurs existants conservent leur accès à Stripe. Bien que SCIM gère le provisionnement des membres de l’équipe et des groupes, leurs rôles restent gérés séparément via SAML, au moyen des attributs transmis par votre fournisseur d’identité lors de la connexion ou depuis le Dashboard, selon votre configuration d’attribution des rôles. Lorsque votre fournisseur d’identité ou client SCIM provisionne de nouveaux membres d’équipe dans Stripe, ceux-ci apparaissent automatiquement dans la liste des membres d’équipe, sous **Paramètres** > **Équipe et sécurité** > [Équipe](https://dashboard.stripe.com/settings/team). Lorsque votre fournisseur d’identité ou client SCIM désapprovisionne des membres d’équipe, nous révoquons immédiatement leur accès et les supprimons de la liste des membres d’équipe. Les membres d’équipe déprovisionnés sont automatiquement déconnectés du Dashboard et ne peuvent plus accéder à Stripe. Si vos comptes appartiennent à une organisation, vous devez configurer à la fois l’authentification unique et le provisionnement SCIM au niveau de l’organisation. Il n’est pas possible de configurer l’authentification unique ou le SCIM pour des comptes individuels au sein d’une organisation. Lorsque vous provisionnez un utilisateur via SCIM et que vous configurez l’attribution des rôles via SAML, l’utilisateur ne reçoit aucune autorisation tant qu’il ne s’est pas connecté. Lorsque vous provisionnez un groupe via SCIM, l’attribution des rôles via SAML est désactivée. La synchronisation des groupes via SCIM synchronise l’appartenance des utilisateurs aux groupes dans Stripe, et Stripe vous permet d’attribuer un rôle à un groupe synchronisé dans Dashboard Stripe. Tous les membres du groupe héritent alors de ce rôle. Vous ne pouvez pas attribuer un rôle à un utilisateur à la fois via SCIM et via SAML. Si vous attribuez un rôle à un groupe synchronisé via SCIM, l’assertion de groupe SAML est ignorée si elle est reçue dans l’entité fédérée SAML. > #### Configurations hybrides > > Si vous attribuez un rôle via l’appartenance à un groupe synchronisé avec SCIM à un utilisateur qui s’authentifie via l’authentification unique et qui dispose déjà de rôles attribués via le Dashboard, Stripe considère que les rôles sont en union. Vous ne pouvez pas attribuer un rôle à un utilisateur à la fois via SAML et un groupe synchronisé avec SCIM. Utilisez ce guide pour passer de l’attribution de rôle basée sur SAML à l’attribution de rôle basée sur un groupe avec SCIM. Contactez le service de support si vous devez revenir à l’ancienne attribution de rôle basée sur SAML. ## Avant de commencer Avant de pouvoir activer le provisionnement SCIM : - Vous devez disposer d’un rôle [Administrateur](https://docs.stripe.com/get-started/account/teams/roles.md) ou [Super administrateur](https://docs.stripe.com/get-started/account/teams/roles.md) dans le Dashboard Stripe. - Vous devez avoir configuré l’[authentification unique (SSO)](https://docs.stripe.com/get-started/account/sso.md). - Vous pouvez uniquement activer le provisionnement SCIM sur des comptes ou organisations en mode production. ## Activer le provisionnement SCIM Pour activer le provisionnement SCIM dans votre compte ou votre organisation : 1. Sur la page Paramètres équipe et sécurité, accédez au [provisionnement SCIM](https://dashboard.stripe.com/settings/security/scim-provisioning) et cliquez sur **Activer**. 1. Copiez l’URL de votre endpoint SCIM et la clé d’API SCIM vers votre fournisseur d’identité ou votre client SCIM. > #### Limitations > > #### Limites de débit > > Nous utilisons deux types de limites d’appels : > > - Limite d’appels en fonction du nombre d’appartenances à un groupe modifiées par seconde et par compte ou organisation. - Ne modifiez pas plus de 100 appartenances de groupe par seconde, par compte ou organisation. Nous prenons en charge des pics allant jusqu’à 500 modifications d’appartenance de groupe par seconde, mais un trafic continu de 500 modifications d’appartenance de groupe par seconde entraîne le renvoi d’un code d’état `429` par les API SCIM. - Limite d’appels par nombre de requêtes API par seconde. - En savoir plus sur la manière dont l’API Stripe utilise les [limites d’appels](https://docs.stripe.com/rate-limits.md) pour restreindre le nombre de requêtes API par seconde. > > #### Limites de capacité > > 250 groupes peuvent être synchronisés par organisation. ### Configurer en Okta Stripe prend en charge le provisionnement SCIM via Okta avec des intégrations d’application SAML 2.0 personnalisées. #### Fonctionnalités prises en charge - **Créer des utilisateurs** : provisionner de nouveaux utilisateurs dans Stripe lorsqu’ils sont assignés dans Okta. - **Mettre à jour les attributs utilisateur** : synchroniser les modifications du profil utilisateur depuis Okta vers Stripe. - **Désactiver les utilisateurs** : supprimer les utilisateurs dans Stripe lorsqu’ils sont désassignés dans Okta. - **Group Push** : provisionner des groupes depuis Okta vers Stripe afin de pouvoir utiliser l’[attribution de rôles basée sur les groupes dans le Dashboard](https://docs.stripe.com/get-started/account/sso/group-role-assignments.md). > #### Non prise en charge > > Les fonctionnalités **Importer de nouveaux utilisateurs**, **Import des mises à jour de profil** et **Synchroniser le mot de passe** ne sont pas prises en charge. Stripe attend que les modifications de profil utilisateur soient toujours synchronisées depuis Okta vers Stripe et non depuis Stripe vers Okta. En savoir plus sur les fonctionnalités répertoriées dans le [glossaire Okta](https://help.okta.com/okta_help.htm?type=oie&id=ext_glossary). #### Étapes de configuration #### Application personnalisée Okta ##### Étape 1 : configurer le provisionnement utilisateur 1. Ouvrez votre application Stripe. 1. Cliquez sur l’onglet **Général**. Modifiez les **Paramètres de votre application** et définissez **Provisionnement** sur **SCIM**. 1. Cliquez sur l’onglet **Mise en service**. Sous **Paramètres**, cliquez sur **Intégration** et **Modifier**. 1. Pour **URL de base du connecteur SCIM**, entrez `https://access.stripe.com/scim/v2`. 1. Pour **Champ d’identifiant unique pour les utilisateurs**, ajoutez la valeur `email`. 1. Pour **Actions de mise en service prises en charge**, sélectionnez : - **Push de nouveaux utilisateurs** - **Push des mises à jour de profil** 1. Pour **Mode d’authentification**, sélectionnez `HTTP Header`. 1. Pour **Autorisation**, entrez votre clé SCIM API comme token porteur. 1. Cliquez sur **Tester la configuration du connecteur** et assurez-vous que le test est réussi. 1. Cliquez sur **Enregistrer**. 1. Sous l’onglet **Paramètres** > onglet **À l’application**, cliquez sur **Modifier** et activez les éléments suivants : - **Créer des utilisateurs** - **Mettre à jour les attributs utilisateur** - **Désactiver les utilisateurs** ##### Étape 2 (facultatif) : configurer le provisionnement des groupes Pour utiliser l’[attribution de rôles basée sur les groupes dans le Dashboard Stripe](https://docs.stripe.com/get-started/account/sso/group-role-assignments.md), activez **Group Push** : 1. Ouvrez votre application Stripe. 1. Cliquez sur l’onglet **Mise en service**. Sous **Paramètres**, cliquez sur **Intégration** et **Modifier**. 1. Pour **Actions de provisionnement prises en charge**, en plus des options déjà sélectionnées, sélectionnez : - **Push Groups**. Tenez compte de cette [limitation de fonctionnalité](https://help.okta.com/en-us/content/topics/users-groups-profiles/app-assignments-group-push.htm) lorsque vous déterminez les groupes que vous souhaitez synchroniser vers Stripe via SCIM. 1. Cliquez sur **Tester la configuration du connecteur** et assurez-vous que le test est réussi. 1. Cliquez sur **Enregistrer**. Vous pouvez ensuite provisionner des groupes depuis Okta vers Stripe et attribuer des rôles à ces groupes dans le Dashboard. > #### Affectation d’applications et Group Push > > Okta ne prend pas en charge l’utilisation du même groupe pour l’affectation d’application et Group Push. Vous devez utiliser des groupes différents pour l’affectation d’application et Group Push. Sinon, vous pourriez rencontrer des comportements inattendus à la fois dans Okta et dans Stripe. Pour en savoir plus sur cette limitation, consultez la [documentation Okta Group Push](https://help.okta.com/en-us/content/topics/users-groups-profiles/app-assignments-group-push.htm). ### Configurer dans Entra ID Si vous configurez le provisionnement SCIM depuis Entra ID comme IdP : 1. Ouvrez votre application Stripe sous **Applications d’entreprise**. 1. Cliquez sur **Provisionnement** > **Connecter votre formulaire d’inscription**. 1. Pour **URL du locataire**, saisissez **https://access.stripe.com/scim/v2**. 1. Pour **Token secret**, entrez votre clé SCIM API. 1. Cliquez sur **Tester la connexion** > **Créer**. > #### Retard de provisionnement > > Entra ID a un intervalle de provisionnement automatique fixe de 40 minutes. ### Configurez dans Ping IDP Si vous provisionnez des utilisateurs de PingOne Identity vers Stripe via SCIM : 1. Dans la console d’administration PingOne, accédez à **Intégrations** > **Provisionnement**. 1. Cliquez sur **Nouvelle connexion**. 1. À la ligne **Identity Store**, cliquez sur **Sélectionner**. 1. Sélectionnez la tuile **SCIM Outbound**, puis cliquez sur **Next**. 1. Saisissez un **Nom** et une **Description**, puis cliquez sur **Suivant**. 1. Dans la section **Configurer l’authentification**, saisissez la valeur des champs suivants : - **URL SCIM de base** : **https://access.stripe.com/scim/v2**. - **Méthode d’authentification** : choisissez **OAuth 2 Bearer Token** et définissez le **Type d’autorisation** sur **Bearer**. 1. Cliquez sur **Tester la connexion** pour vérifier que PingOne peut établir une connexion à la ressource SCIM. ## Désactiver le provisionnement SCIM Pour désactiver le provisionnement SCIM : 1. Sur la page Paramètres équipe et sécurité, accédez au [provisionnement SCIM](https://dashboard.stripe.com/settings/security/scim-provisioning). 1. Cliquez sur **Désactiver**. Votre clé SCIM API est automatiquement supprimée. ## Modifier une clé API SCIM Pour modifier votre clé API SCIM : 1. Ouvrez le menu **Développeurs** et accédez aux [clés API](https://dashboard.stripe.com/apikeys). - Si vous gérez une organisation, accédez aux [clés API de l’organisation](https://dashboard.stripe.com/org/api-keys/secret). 1. À côté de votre clé SCIM API, cliquez sur le menu débordement (⋯) et sélectionnez **Touche de rotation**. ## Résolution des problèmes | Problème | Résolution | | ------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Les mises à jour des attributs utilisateur ne sont pas répercutées dans Stripe | Seuls les attributs `displayName` et `active` peuvent être mis à jour. Les autres attributs ne sont pas pris en charge par Stripe ou sont considérés comme immuables. | | L’utilisateur est supprimé dans Stripe alors qu’il a été désactivé dans le fournisseur d’identité. | Stripe ne fait pas de distinction entre la désactivation et la suppression d’un utilisateur via SCIM. Les deux opérations entraînent la suppression de l’utilisateur du compte Stripe. | | L’utilisateur est marqué comme inactif dans Stripe alors qu’il est actif dans le fournisseur d’identité | L’état **Inactif** dans le Dashboard indique que l’utilisateur ne s’est pas connecté depuis 90 jours. Cet état n’est pas lié à une opération de désactivation utilisateur via SCIM. | | Les mises à jour du nom de groupe ne sont pas prises en compte dans Stripe | Stripe ne prend pas en charge la mise à jour des noms de groupe. Pour renommer un groupe, vous devez le reprovisionner avec un nouveau nom. | | Les rôles ne sont pas synchronisés vers Stripe via SCIM | Stripe prend en charge l’attribution des rôles uniquement dans le Dashboard ou via SAML. Vous ne pouvez pas synchroniser les rôles avec SCIM. En revanche, vous pouvez synchroniser les groupes via SCIM, puis attribuer des rôles à ces groupes dans le Dashboard. |