SCIM
Un sous-ensemble de la RFC 7644 est pris en charge :
GET/POST /scim/v2/UsersGET/DELETE /scim/v2/Users/:idGET/POST /scim/v2/GroupsPATCH /scim/v2/Groups/:id(add/remove members, replace displayName)
Création d'un token
/app/security → SCIM tokens → Créer. Le plaintext (scim_*) est affiché une fois.
Group → role mapping
/app/security → SCIM group → role. Quand l'IdP ajoute un utilisateur à un groupe portant ce displayName, on lui attribue le rôle indiqué. À l'intersection de groupes, le plus élevé l'emporte (owner > admin > developer > viewer).
SCIM-managed memberships
Un utilisateur ajouté via SCIM a scim_managed=TRUE. Le cabinet ne permet pas de le supprimer — sinon l'IdP re-provisionne au sync suivant. Suppression uniquement via SCIM (DELETE) ou en révoquant le token.