SCIM
Поддерживается RFC 7644 subset:
GET/POST /scim/v2/UsersGET/DELETE /scim/v2/Users/:idGET/POST /scim/v2/GroupsPATCH /scim/v2/Groups/:id(add/remove members, replace displayName)
Создание токена
/app/security → SCIM-токены → Создать. Plaintext (scim_*) показывается один раз.
Group → role mapping
/app/security → SCIM group → role. Когда IdP добавляет юзера в группу с этим displayName, ему выдаётся указанная роль. На пересечении групп выигрывает максимальная (owner > admin > developer > viewer).
SCIM-managed memberships
Юзер, добавленный через SCIM, имеет scim_managed=TRUE. Кабинет не позволяет его удалить — иначе IdP re-provisionит на следующем sync. Удаление только через SCIM (DELETE) или revoke token.