SCIM
Se soporta un subconjunto de la RFC 7644:
GET/POST /scim/v2/UsersGET/DELETE /scim/v2/Users/:idGET/POST /scim/v2/GroupsPATCH /scim/v2/Groups/:id(add/remove members, replace displayName)
Crear un token
/app/security → SCIM tokens → Crear. El plaintext (scim_*) se muestra una vez.
Group → role mapping
/app/security → SCIM group → role. Cuando el IdP añade a un usuario a un grupo con este displayName, se le asigna el rol indicado. En la intersección de grupos gana el más alto (owner > admin > developer > viewer).
SCIM-managed memberships
Un usuario añadido vía SCIM tiene scim_managed=TRUE. El cabinet no permite eliminarlo — de lo contrario el IdP re-aprovisiona en el siguiente sync. Eliminación solo vía SCIM (DELETE) o revocando el token.