SCIM (System for Cross-domain Identity Management) 2.0 vous permet de provisionner, mettre à jour et désactiver automatiquement les utilisateurs Modjo directement depuis votre fournisseur d'identité (IdP). Cette fonctionnalité s'adresse aux administrateurs IT qui gèrent de grandes équipes et souhaitent centraliser la gestion du cycle de vie des utilisateurs.
Prérequis
Permissions : Vous devez être administrateur Modjo et avoir un accès administrateur à votre fournisseur d'identité.
Plan : Le provisionnement SCIM nécessite un plan compatible SCIM (contactez votre chargé de compte Modjo pour confirmer la disponibilité).
Pas d'emails en double : Assurez-vous qu'aucun email en double n'existe dans Modjo avant d'activer SCIM.
IdP compatible : Modjo supporte SCIM 2.0 avec Okta, Azure AD (Entra ID), Google Workspace, JumpCloud, OneLogin, Rippling et YesHID.
Ce que SCIM gère automatiquement
Création d'utilisateurs : Les nouveaux utilisateurs assignés à Modjo dans votre IdP sont automatiquement créés dans Modjo.
Mise à jour d'utilisateurs : Les modifications d'attributs utilisateur (nom, email, téléphone, titre, fuseau horaire) sont synchronisées automatiquement.
Désactivation d'utilisateurs : Lorsqu'un utilisateur est désassigné ou désactivé dans votre IdP, il est automatiquement désactivé dans Modjo.
Ce qui reste manuel dans Modjo
SCIM ne gère pas les éléments suivants — vous devez les configurer manuellement dans Modjo après le provisionnement des utilisateurs :
Rôles : Utilisateur, Administrateur, Analyste (à assigner dans Paramètres → Utilisateurs)
Assignations d'équipes : À quelle(s) équipe(s) un utilisateur appartient
Licences d'enregistrement : Si un utilisateur dispose d'une licence d'enregistrement active
Liaison de compte CRM : Association avec des comptes Salesforce/HubSpot
Étape 1 : Générer votre token SCIM dans Modjo
Dans Modjo, allez dans
Paramètres → Integrations → Provisionnement SCIM.Cliquez sur Générer un token SCIM.
Copiez le token et l'URL de base SCIM (par exemple,
https://api.modjo.ai/scim/v2).
⚠️ Sauvegardez le token en lieu sûr — il ne sera plus affiché. Si vous le perdez, vous devrez en régénérer un nouveau (ce qui invalidera le précédent).
Étape 2 : Configurer SCIM dans votre fournisseur d'identité
Processus général (tous les IdP)
Dans la console admin de votre IdP, localisez l'application Modjo (ou créez une application SCIM 2.0 personnalisée si Modjo n'est pas listé).
Activez le provisionnement SCIM.
Saisissez l'URL de base SCIM et le token API de l'étape 1.
Configurez le mapping d'attributs (voir tableau ci-dessous).
Activez les fonctionnalités de provisionnement : Créer des utilisateurs, Mettre à jour les attributs utilisateur, Désactiver des utilisateurs.
Assignez des utilisateurs ou des groupes à l'application Modjo pour déclencher le provisionnement.
Guides spécifiques par IdP
Okta
Allez dans Applications → Modjo → Provisioning.
Cliquez sur Configure API Integration.
Saisissez l'URL de base SCIM et le token, puis cliquez sur Test API Credentials.
Activez : Create Users, Update User Attributes, Deactivate Users.
Sous Attribute Mappings, mappez les attributs Okta vers les attributs SCIM Modjo (voir tableau ci-dessous).
Assignez des utilisateurs/groupes à l'application Modjo.
Azure AD (Entra ID)
Allez dans Enterprise Applications → Modjo → Provisioning.
Réglez le mode de provisionnement sur Automatic.
Saisissez l'URL de base SCIM dans Tenant URL et le token dans Secret Token.
Cliquez sur Test Connection, puis Save.
Sous Mappings, configurez le mapping d'attributs (voir tableau ci-dessous).
Réglez le statut de provisionnement sur On.
Assignez des utilisateurs/groupes à l'application Modjo.
Google Workspace
Allez dans Apps → Web and mobile apps → Add custom SCIM app.
Saisissez Modjo comme nom d'application.
Saisissez l'URL de base SCIM et le token.
Mappez les attributs Google Workspace vers les attributs SCIM Modjo (voir tableau ci-dessous).
Activez le provisionnement et assignez des utilisateurs/groupes.
Screenshot: modjo-scim-idp-config-okta-step2-fr-light-2026-04-23.png | alt_fr: "Configuration SCIM dans Okta avec Base URL et token" | alt_en: "SCIM configuration in Okta with Base URL and token" | place: after IdP-specific guides | crop: Écran des paramètres de provisionnement Okta | highlight: Champs SCIM Base URL et API Token
Étape 3 : Configurer le mapping d'attributs
Mappez les attributs de votre IdP vers les attributs SCIM de Modjo. Voici le tableau de référence :
Attribut SCIM Modjo | Requis ? | Description | Défaut Okta | Défaut Azure AD |
| ✅ Oui | Email de l'utilisateur (doit être unique) |
|
|
| ✅ Oui | Prénom |
|
|
| ✅ Oui | Nom de famille |
|
|
| Non | Nom d'affichage complet |
|
|
| Non | Numéro de téléphone professionnel |
|
|
| Non | Titre du poste |
|
|
| Non | Fuseau horaire (format IANA, ex. |
|
|
| ✅ Oui | Statut de l'utilisateur (true/false) |
|
|
Étape 4 : Assigner des utilisateurs ou des groupes
Dans votre IdP, assignez des utilisateurs individuels ou des groupes entiers à l'application Modjo.
Attendez 5 à 10 minutes pour que la synchronisation initiale se termine.
Vérifiez dans Modjo (
Paramètres → Utilisateurs) que les utilisateurs ont bien été créés.
Bonnes pratiques
Commencez avec un groupe pilote : Assignez d'abord un petit groupe de test (5 à 10 utilisateurs) pour valider la configuration avant de déployer à toute l'organisation.
Utilisez des groupes pour la scalabilité : Assignez des groupes (ex. « Équipe commerciale ») plutôt que des utilisateurs individuels pour simplifier la gestion.
Surveillez les logs de synchronisation : Vérifiez régulièrement les logs de provisionnement de votre IdP pour détecter les erreurs (emails en double, attributs manquants, etc.).
Documentez vos mappings d'attributs : Conservez un document de référence de vos mappings personnalisés pour le dépannage.
Combinez SCIM avec SSO : Pour une expérience entièrement automatisée, activez à la fois SCIM (provisionnement) et SSO (authentification).
Limites et considérations
Les utilisateurs provisionnés via SCIM ne peuvent être désactivés que via l'IdP : Une fois qu'un utilisateur est créé via SCIM, vous ne pouvez pas le désactiver manuellement dans Modjo — vous devez le désassigner dans votre IdP.
Les rôles, équipes et licences restent manuels : SCIM ne synchronise pas ces attributs ; vous devez les configurer dans Modjo après le provisionnement des utilisateurs.
Unicité des emails : Les emails en double provoquent des erreurs de provisionnement. Assurez-vous que tous les emails sont uniques avant d'activer SCIM.
Latence de synchronisation : Les modifications dans votre IdP (création, mise à jour, désactivation d'utilisateurs) peuvent prendre 5 à 15 minutes pour se refléter dans Modjo, selon la fréquence de synchronisation de votre IdP.
Sécurité du token : Si votre token SCIM est compromis, régénérez-le immédiatement dans Modjo. Cela invalidera l'ancien token et nécessitera une mise à jour de la configuration de votre IdP.
Dépannage
Erreur 404 lors du test de la connexion SCIM
Solution : Vérifiez que l'URL de base SCIM est correcte (https://api.modjo.ai/scim/v2) et que vous l'avez copiée exactement comme indiqué dans Modjo (y compris le chemin /scim/v2).
Erreur « L'utilisateur existe déjà »
Solution : Un utilisateur avec le même email existe déjà dans Modjo (créé manuellement ou via une autre méthode). Soit supprimez l'utilisateur existant dans Modjo d'abord, soit excluez cet utilisateur du provisionnement SCIM dans votre IdP.
Les utilisateurs sont créés mais pas mis à jour lorsque je modifie des attributs dans mon IdP
Solution : Assurez-vous que Update User Attributes est activé dans les paramètres de provisionnement de votre IdP. Vérifiez également que les attributs que vous modifiez sont correctement mappés (voir tableau de mapping d'attributs).
Les utilisateurs soft-deleted dans Azure AD ne sont pas désactivés dans Modjo
Solution : Azure AD n'envoie des événements de désactivation que pour les utilisateurs hard-deleted. Soit supprimez définitivement l'utilisateur dans Azure AD, soit désassignez-le manuellement de l'application Modjo pour déclencher la désactivation.
Token SCIM expiré ou invalide
Solution : Les tokens SCIM n'expirent pas automatiquement, mais si vous avez régénéré le token dans Modjo, vous devez le mettre à jour dans votre IdP. Allez dans les paramètres SCIM de votre IdP et collez le nouveau token, puis testez la connexion.
FAQ
Q : Puis-je utiliser SCIM en parallèle d'invitations manuelles d'utilisateurs ?
R : Oui. Vous pouvez mélanger des utilisateurs provisionnés via SCIM et des utilisateurs invités manuellement dans le même workspace Modjo. Cependant, les utilisateurs provisionnés via SCIM ne peuvent être désactivés que via votre IdP.
Q : Que se passe-t-il si je désactive SCIM après avoir provisionné des utilisateurs ?
R : Les utilisateurs déjà provisionnés via SCIM resteront dans Modjo, mais ils ne seront plus synchronisés avec votre IdP. Vous devrez les gérer manuellement (désactivation, mises à jour d'attributs) dans Modjo.
Q : SCIM fonctionne-t-il avec plusieurs workspaces Modjo ?
R : Oui. Chaque workspace Modjo possède son propre token SCIM et sa propre configuration. Vous devez configurer SCIM séparément pour chaque workspace dans votre IdP.
Q : Puis-je assigner des rôles Modjo (Admin, Utilisateur, Analyste) via SCIM ?
R : Non. SCIM ne prend pas en charge l'assignation de rôles. Tous les utilisateurs provisionnés via SCIM sont créés avec le rôle « Utilisateur » par défaut. Vous devez assigner les rôles manuellement dans Modjo (Paramètres → Utilisateurs).
Q : Comment savoir si un utilisateur a été provisionné via SCIM ?
R : Dans Modjo, allez dans Paramètres → Utilisateurs. Les utilisateurs provisionnés via SCIM auront un badge « SCIM » à côté de leur nom (visible uniquement par les administrateurs).
Voir aussi