SCIM ou la spécification System for Cross-domain Identity Management est un protocole standard pour gérer les comptes sur plusieurs services : ajouter des coéquipiers, modifier leurs propriétés, comme le nom, ou désactiver des comptes pour révoquer l'accès.
Intégrer Intercom avec votre fournisseur d'identité rend la gestion des coéquipiers simple et sécurisée.
Avant de commencer
Important : Plusieurs prérequis sont nécessaires pour configurer SCIM :
Avant de configurer SCIM, le SAML SSO doit être configuré et activé dans votre espace de travail.
Le provisionnement SCIM est disponible uniquement avec certains plans Intercom. Consultez nos plans et tarifs pour l'ajouter à votre abonnement.
Chaque espace de travail Intercom vers lequel vous souhaitez provisionner doit être configuré comme une application distincte dans votre fournisseur d'identité.
Comment activer SCIM
Assurez-vous que SAML SSO est activé.
Puis ouvrez Provisioning et sélectionnez Activer le provisionnement SCIM.
Une URL de base et un Jeton API seront disponibles après avoir enregistré les paramètres de sécurité.
Copiez l'URL de base et le Jeton API et ajoutez-les à la configuration de l'application Intercom dans votre fournisseur d'identité (par exemple, Okta, OneLogin, Azure ActiveDirectory).
Configuration des paramètres de provisionnement
Après avoir activé SCIM, vous devez configurer comment les nouveaux coéquipiers sont provisionnés et comment les coéquipiers partants sont déprovisionnés.
Définir les sièges et permissions par défaut des coéquipiers
Lorsqu'un nouveau coéquipier est créé par votre fournisseur d'identité, Intercom lui attribue un siège et un ensemble de permissions par défaut.
Assurez-vous que SAML SSO est activé.
Ouvrez la section Provisioning.
Sous « Permissions par défaut des coéquipiers », cliquez sur Modifier.
Activez le siège et les permissions que les nouveaux coéquipiers doivent avoir lors de leur provisionnement.
Configurer les paramètres de déprovisionnement
Lorsque les coéquipiers sont déprovisionnés par votre IdP, leur compte sera supprimé d'Intercom. Ce paramètre contrôle à qui leurs éléments assignés (conversations, articles, etc.) sont réaffectés.
Assurez-vous que SAML SSO est activé.
Ouvrez la section Provisioning.
Dans la section Déprovisionnement, vous pouvez choisir qui doit obtenir la propriété de chaque type de données.
Si vous choisissez l'option Par défaut, Intercom assignera les éléments au premier coéquipier dans l'espace de travail. Ceux-ci peuvent être réaffectés plus tard.
Vous pouvez également choisir des coéquipiers spécifiques à exclure du déprovisionnement. Cela peut aider votre équipe informatique à garder l'accès à votre espace de travail Intercom en cas de mauvaise configuration ou d'urgence.
Comment SCIM gère les coéquipiers
Une fois configuré, votre IdP gérera vos coéquipiers dans Intercom.
Création de coéquipiers
Voici le flux typique de provisionnement utilisateur :
L'équipe informatique ajoute un nouveau coéquipier dans l'annuaire du fournisseur d'identité de l'entreprise.
L'équipe informatique assigne l'application Intercom au nouveau coéquipier sur la plateforme IdP.
L'IdP envoie une requête HTTP à Intercom, qui crée un nouveau coéquipier dans l'espace de travail Intercom.
Le nouveau coéquipier reçoit automatiquement les permissions et le siège que vous avez configurés dans Permissions par défaut des coéquipiers.
Note : Si un compte administrateur avec le même e-mail existe déjà dans Intercom, SCIM donnera à ce compte existant l'accès à l'espace de travail du client.
Mise à jour des coéquipiers
Lorsque votre équipe informatique modifie le nom d’un coéquipier dans l'annuaire IdP, l'IdP envoie une requête HTTP à Intercom pour mettre à jour le nom du coéquipier dans Intercom.
Suppression des coéquipiers
L'équipe informatique retire l'assignation de l'application Intercom à un coéquipier dans l'IdP.
L'IdP envoie une requête HTTP à Intercom pour retirer le coéquipier de l'espace de travail.
Intercom réaffecte automatiquement tous les objets (conversations, messages sortants, contacts, articles) assignés à ce coéquipier selon vos paramètres de Déprovisionnement des coéquipiers.
Avertissement important sur la désactivation : Les coéquipiers dans Intercom peuvent être dans deux états : « actif » ou « supprimé ». Intercom ne supporte pas d'état de suppression douce, désactivation ou archivage pour les coéquipiers.
Lorsqu'un coéquipier n'est pas actif dans votre fournisseur d'identité, son compte sera définitivement supprimé de l'espace de travail Intercom. Si le coéquipier a accès à d'autres espaces de travail, cet accès est conservé.
Gestion des permissions des coéquipiers via SCIM
Vous pouvez pousser vos groupes de fournisseur d'identité vers Intercom et mapper ces groupes à des rôles spécifiques de coéquipiers. Consultez notre article sur l'attribution automatique des rôles de coéquipiers via les groupes SCIM pour plus de détails.
Limitations et notes importantes
Limitations connues
Notre implémentation actuelle de SCIM ne supporte pas :
Ajouter un coéquipier à une équipe ou le retirer d'une équipe
Attribuer un rôle par défaut lors du provisionnement (cela doit être fait via le mapping des groupes SCIM)
Notes importantes
Remarque :
La capacité de provisionnement d'Intercom est construite en utilisant la version 2.0 du protocole SCIM.
Intercom considère les adresses e-mail comme insensibles à la casse (par exemple, "Teammate@example.com" est identique à "teammate@example.com").
Si un paramètre « displayName » est envoyé dans la requête, il sera utilisé à la place du paramètre « name ».