Provisionnement SCIM (System for Cross-domain Identity Management)

Une fois l'authentification unique configurée, vous pouvez paramétrer le provisionnement Udemy for Cross-domain Identity Management (SCIM 2.0) dans Azure Active Directory (AD) avec Udemy Business. Cette configuration vous permet de provisionner, déprovisionner, créer des groupes, gérer les appartenances aux groupes et modifier les détails d'un profil utilisateur comme son nom et son adresse e-mail dans Azure AD. Ces informations sont ensuite automatiquement mises à jour sur Udemy Business. Vous n'aurez plus besoin de mettre à jour séparément Azure AD et Udemy Business avec ces actions, car tout sera synchronisé depuis Azure AD.

Pour activer le provisionnement SCIM pour votre compte Udemy Business, connectez-vous d'abord à votre compte Udemy Business et accédez à Gérer > Paramètres > Provisionnement (SCIM).

Cliquez sur Commencer la configuration, puis suivez les instructions pour activer le système SCIM et générer le Jeton confidentiel (jeton du porteur) que vous devrez ensuite saisir dans Azure AD.

Remarques :

• L'authentification unique doit être activée avant d'activer SCIM.
• L'authentification unique et le provisionnement sont disponibles pour les clients disposant d'un abonnement Enterprise à Udemy Business.
• Les utilisateurs provisionnés par Azure AD doivent se connecter pour la première fois sur l'application Udemy Business pour obtenir une licence. 
• Les modifications de provisionnement SCIM ne peuvent être synchronisées que dans le sens Azure AD vers Udemy Business. 
• Les utilisateurs et groupes gérés par SCIM dans Azure AD ne peuvent pas être modifiés dans l'application Udemy Business. SCIM représente le référentiel unique de contenus concernant les données sur les utilisateurs et les groupes.
• Vous pouvez toujours créer des groupes manuellement dans Udemy Business si vous n'avez pas besoin de certains utilisateurs ou ne souhaitez pas qu'ils soient transférés depuis Azure AD, comme les fournisseurs ou les employés temporaires.

Configuration du provisionnement SCIM avec Azure AD

1. Pour activer le provisionnement SCIM dans Udemy Business, connectez-vous d'abord à votre compte Udemy Business et accédez à Gérer > Paramètres > Provisionnement (SCIM).
2. Cliquez sur Commencer la configuration, choisissez votre Fournisseur d'identité et suivez les instructions pour générer le jeton confidentiel (jeton du porteur) que vous devrez ensuite saisir dans Azure AD.
3. Accédez ensuite à votre compte Azure AD, allez dans l'application d'authentification unique Udemy Business et suivez les étapes ci-dessous pour la configurer. Pour plus d'informations, vous pouvez également consulter le guide de configuration de Microsoft sur le provisionnement SCIM avec Azure AD. 

   Accédez à l'onglet Provisionnement sur votre portail Azure. 

   (Remarque : udemyazure est le nom du test utilisé dans les captures d'écran ci-dessous pour illustrer la configuration SCIM. Vous devez le remplacer par le nom d'application choisi par votre équipe lors de la configuration au sein de votre instance.) 

4. Choisissez Automatique comme mode de provisionnement. 
5. Dans la section Informations d'identification de l'administrateur : 

   L'URL de locataire est : https://votredomaine.udemy.com/scim/v2 (votredomaine est l'URL de votre compte Udemy Business).

   Jeton secret : il s'agit d'un jeton du porteur que vous générez ou visualisez depuis votre compte Udemy Business. (Allez dans Gérer > Paramètres > Accès utilisateur pour obtenir le jeton secret.)

6. Cliquez sur Tester la connexion pour vérifier que la connexion fonctionne correctement.  Facultatif : vous pouvez saisir une adresse e-mail si vous souhaitez recevoir des alertes d'Azure sur les erreurs. 
7. Dans Mappages : 

   Vérifiez le mappage d'attributs :
   
   Confirmez que les champs userName, active, emails[type eq "work"].value et externalId ont été ajoutés à l'attribut customappsso, car ils sont nécessaires au fonctionnement du provisionnement SCIM dans Udemy.
   
   Confirmez que l'e-mail de l'utilisateur est mappé à emails[type eq "work"].value.
   
   Confirmez que l'attribut Switch([IsSoftDeleted], , "False", "True", "True", "False") est mappé à actif. Cela permet de passer outre la désactivation des utilisateurs.
   
   

8. Faites défiler la page jusqu'en bas de Mappage d'attributs utilisateur et activez Afficher les options avancées.
   
   Sélectionnez Modifier la liste des attributs pour customappsso et activez Casse identique pour id et userName
   
   
9. Retournez à l'écran principal de configuration du provisionnement :
   Basculez le bouton État de la configuration sur Activé.
   
10. Choisissez l'Étendue de la synchronisation de vos utilisateurs et groupes.     

    Vous pouvez synchroniser uniquement les utilisateurs et groupes auxquels l'application Udemy Business a été attribuée si vous devez limiter l'accès à certains employés ou services. Vous pouvez aussi synchroniser tous les utilisateurs et groupes si tous les employés ont accès. 

    Pour fournir un accès à Udemy Business à un plus grand nombre d'utilisateurs et de groupes :

11. Cliquez sur Utilisateurs et groupes.  
    
    
12. Cliquez sur Ajouter un utilisateur (ce qui vous permet d'ajouter des utilisateurs et des groupes).  Sélectionnez tous les utilisateurs ou groupes que vous souhaitez ajouter à l'application puis cliquez sur Sélectionner.  
    
    

Dépannage

Concernant les Mappages :  

Si l'erreur suivante se produit lors du provisionnement :

{"schemas":["urn:ietf:params:scim:api:messages:2.0:Error"],"status":400,"detail":"{'emails': ['This field is required.']}"}

Vous devez modifier le mappage de l'utilisateur.  

emails[type eq "work"].value doit être mappé à userPrincipalName si userPrincipalName est l'emplacement où se trouve l'e-mail.

Si vous consultez le profil utilisateur, vous pouvez voir quel champ contient cet e-mail.

Une fois l'authentification unique (SSO) configurée, vous pouvez paramétrer le provisionnement System for Cross-domain Identity Management (SCIM) dans OneLogin avec Udemy Business. Cette configuration vous permet de provisionner, déprovisionner, créer des groupes, gérer les appartenances aux groupes et modifier les détails d'un profil utilisateur comme son nom et son adresse e-mail dans OneLogin. Ces informations sont ensuite automatiquement mises à jour sur Udemy Business. Vous n'aurez plus besoin de mettre à jour séparément OneLogin et Udemy Business avec ces actions, car tout sera synchronisé depuis OneLogin.

Cet article explique comment configurer le provisionnement SCIM avec OneLogin. 

Activation du provisionnement SCIM

Pour activer le provisionnement SCIM pour votre compte Udemy Business, connectez-vous d'abord à votre compte Udemy Business et accédez à Gérer > Paramètres > Provisionnement (SCIM).

Cliquez sur Commencer la configuration puis suivez les instructions pour activer le système SCIM et générer le Jeton confidentiel (jeton du porteur) que vous devrez ensuite enregistrer dans OneLogin.

Le centre de support OneLogin contient également des informations complémentaires sur le provisionnement des utilisateurs.

1. Dans le volet administrateur, cliquez sur l'onglet des applications :
   
   
2. Accédez à l'onglet « Configuration ». Dans l'onglet « Configuration », saisissez le jeton du porteur SCIM généré précédemment dans votre compte Udemy Business, et définissez-le comme « Activé » :
   
   
3. Accédez ensuite à l'onglet « Provisionnement », et cochez la case « Activer le provisionnement » :

Création d'une règle de synchronisation d'un groupe d'utilisateurs avec Udemy Business

OneLogin utilise des « règles » pour synchroniser un utilisateur avec un groupe spécifique dans un compte Udemy Business. Il existe de nombreuses méthodes pour créer des règles qui répondent à vos exigences en matière de synchronisation de groupes. L'exemple spécifique qui suit décrit comment créer une règle pour synchroniser un utilisateur avec un groupe nommé « Ingénieurs ».

1. Accédez à l'onglet « Règles » et sélectionnez « Ajouter une règle » :
   
2. Condition préalable : avant de poursuivre, contactez notre équipe de support et demandez l'activation de l'indicateur de fonctionnalité qui permettra à SCIM de récupérer les groupes dans Udemy Business. Une fois activée, cette fonctionnalité vous permettra de récupérer les groupes existants dans Udemy Business et d'y accéder dans OneLogin.
3. La configuration de la logique de la règle s'effectue dans l'écran « Modifier le mappage ». Dans cette exemple, la règle crée utilise la logique « Si le groupe de l'utilisateur est Ingénierie, alors l'action effectuée est de définir le groupe d'utilisateurs dans Udemy Business sur Ingénieurs »:
   Pour récupérer les groupes « Existants » dans Udemy Business, vous devrez rafraîchir les droits
   
   
4. Accédez à l'onglet « Paramètres » :
   
   
5. Cliquez sur le champ « Groupes » :
   
   
6. Cochez la case « Inclure dans le provisionnement de l'utilisateur » et enregistrez :
   
   
7. Ensuite, après avoir ajouté un utilisateur dans OneLogin et avoir défini le groupe de cet utilisateur sur « Ingénierie » :
   
   
8. Une fois l'utilisateur ajouté dans l'application Udemy Business et synchronisé, il sera ajouté par la règle au groupe « Ingénieurs » dans le compte Udemy Business :

 

 

Udemy Business prend en charge la norme System for Cross-domain Identity Management (SCIM) pour l'accès des utilisateurs et des groupes et la gestion automatisée de l'identité. Le SCIM est utilisé par les services d'authentification unique (SSO) et les fournisseurs d'identité pour gérer les utilisateurs au sein d'une variété d'applications et d'outils, y compris Udemy Business.

Le SCIM peut être une excellente option pour les organisations qui cherchent à maximiser l'échelle et la sécurité et à limiter les frictions  dans la gestion des utilisateurs pour Udemy Business.

Que pouvez-vous faire avec SCIM :

• Fournir automatiquement des licences et des accès aux utilisateurs et aux groupes à partir de votre fournisseur d'identité (provisionnement).
• Désactiver automatiquement les utilisateurs et les groupes de votre fournisseur d'identité (déprovisionnement).
• Réactiver les utilisateurs qui ont été précédemment déprovisionnés (à condition que les données à caractère personnel de l'utilisateur n'aient pas été anonymisées).
• Mettre à jour les détails de l'utilisateur : nom, adresse e-mail. 
• Créer, retirer ou modifier des groupes
• Gérer l'appartenance aux groupes (utilisateurs changeant de groupes)

Ce que vous pouvez faire avec le SCIM :

• Supprimer les données à caractère personnel (PII) des utilisateurs, par le biais de SCIM sur n'importe quel fournisseur d'identité.
• Synchroniser à nouveau les données provenant d'Udemy Business dans le fournisseur d'identité.
• Gérer les rôles (administrateur, administrateur de groupe, utilisateur)
• Attribuer des licences Udemy Business Pro.
• Remarque : les utilisateurs provisionnés par SCIM ne reçoivent pas d'e-mail généré automatiquement les invitant à demander leur licence Udemy Business, comme ce serait le cas s'ils étaient invités manuellement par l'intermédiaire du portail de gestion des utilisateurs Udemy Business.  Nous recommandons à votre équipe de formateurs d'envoyer une communication distincte expliquant comment accéder en se connectant via leur fournisseur SSO.

Une fois que vous avez effectué l'une des actions ci-dessus, les données ou les modifications seront automatiquement mises à jour dans Udemy Business.

Points clés concernant l'intégration SCIM pour votre compte Udemy Business

• Votre configuration d'intégration SCIM varie en fonction du fournisseur d'identité que vous utilisez.  
• Udemy Business prend en charge le provisionnement SCIM pour les principaux fournisseurs d'identité et services d'authentification unique qui incluent la gestion des identités et des accès.
• Le provisionnement SCIM est disponible pour les clients possédant l'abonnement Enterprise et utilisant l'authentification unique (SSO). 
• Les utilisateurs provisionnés par le biais de SCIM avec le service SSO n'obtiendront pas de licence tant qu'ils n'auront pas rejoint Udemy Business en se connectant pour la première fois. Lorsque des utilisateurs sont provisionnés par SCIM, mais qu'ils ne se sont pas encore connectés, ils apparaissent sur la page Tous les utilisateurs, avec un statut Aucune licence.
  • Concernant les clients ayant acheté des licences Udemy Business Pro pour tous leurs utilisateurs, des licences Pro seront automatiquement attribuées aux utilisateurs lorsque ceux-ci acceptent les invitations ou s'authentifient via SSO/SCIM.

Activation du provisionnement SCIM

Pour activer le provisionnement SCIM pour votre compte Udemy Business, rendez-vous d'abord sur votre compte Udemy Business, puis accédez à Gérer > Paramètres > Accès utilisateur.

Faites défiler la page jusqu'à la section Intégration SCIM. Suivez ensuite les instructions pour activer le SCIM, choisissez votre fournisseur d'identité dans la liste déroulante et générez les identifiants (nom d'utilisateur et mot de passe ou jeton confidentiel/du porteur), que vous devrez par la suite saisir dans votre fournisseur d'identité dans le cadre de la configuration.

 

Pour terminer la configuration du SCIM, suivez les instructions dans le guide correspondant au fournisseur d'identité que vous utilisez ci-dessous.

Guide de configuration Okta 

Guide de configuration Azure AD

Guide de configuration OneLogin

Pour les autres IdP ou vos propres outils, consultez le Guide de configuration des API SCIM Udemy.

Désactivation du provisionnement SCIM

Pour désactiver le provisionnement SCIM pour votre compte Udemy Business (si vous changez de fournisseur ou que vous n'avez plus besoin du SCIM), accédez à Gérer > Paramètres > Accès utilisateur.

Faites défiler la page jusqu'à la section Intégration SCIM, cliquez sur le lien Désactiver l'intégration et suivez les instructions pour désactiver le SCIM. Cette opération désactive l'intégration du côté d'Udemy Business, mais votre équipe informatique devra également désactiver l'intégration du côté du fournisseur d'identité. 

Vous pouvez continuer à utiliser Udemy Business comme d'habitude, mais vous devrez désormais mettre à jour manuellement les informations des utilisateurs et des groupes dans la plate-forme.

Déprovisionnement des utilisateurs avec SCIM

Remarque : Les utilisateurs d'Udemy Business déprovisionnés par votre fournisseur d'identité seront désactivés dans Udemy Business.  Nous déployons d'abord cette « suppression partielle » pour vous permettre de préserver l'historique des participants, en cas de réactivation ultérieure de ces utilisateurs, et pour empêcher l'anonymisation accidentelle et irréversible des données des utilisateurs.  Si vous souhaitez supprimer définitivement un utilisateur et toutes ses données, suivez les instructions ci-dessous :

Suppression des données à caractère personnel des participants gérés avec SCIM

Si vous souhaitez déconnecter un participant pour qu'il ne soit plus géré par votre IdP avec SCIM, il vous suffit de le supprimer de votre répertoire SSO Active Directory, puis de supprimer leurs PII dans votre compte Udemy Business. 

• Découvrez comment anonymiser un participant dans Udemy Business.

Si vous devez gérer un participant directement dans votre compte Udemy Business et non via votre IdP SSO, ou si vous ne souhaitez pas supprimer ses données à caractère personnel, écrivez à notre équipe de support pour obtenir de l'aide.

Ce guide fournit les étapes nécessaires aux clients Okta et Udemy Business existants pour configurer l'approvisionnement automatique, l'annulation de l'approvisionnement, les mises à jour des profils et la gestion de groupes d'Udemy Business avec System for Cross-domain Identity Management (SCIM 2.0).

Remarques :

• Si vous avez déjà activé la connexion avec authentification unique depuis l'ancienne application Udemy Business, vous n'avez pas besoin de reconfigurer l'authentification unique, il vous suffit de chercher l'onglet Approvisionnement sous Applications dans Okta pour configurer le SCIM. 
• Si vous disposez d'une authentification unique configurée manuellement par l'une de vos équipes, vous devez ajouter notre nouvelle application Udemy Business dans votre compte Okta. Vous trouverez la nouvelle application en cherchant Udemy Business dans Applications. Étant donné qu'il s'agit d'une nouvelle version de notre application dans Okta, les clients existants devront peut-être reconfigurer l'authentification unique avant d'activer l'approvisionnement avec SCIM. (Instructions étape par étape ci-dessous)
• Les utilisateurs fournis par Okta n'auront pas de licence avant de se connecter pour la première fois sur l'application Udemy Business. 
• Les changements de provisionnement SCMI ne peuvent se synchroniser que dans le sens Okta vers Udemy Business. 
• Les utilisateurs et groupes gérés par SCIM dans Okta ne peuvent pas être modifiés dans l'application Udemy Business. SCIM représente la seule source de vérité en ce qui concernent les données sur les utilisateurs et les groupes.

Contenu

• Les fonctions
• Prérequis
• Étapes de configuration
• Découverte de schémas
• Conseils de dépannage

Les fonctions

Les fonctionnalités de provisionnement suivantes sont prises en charges :

• Fournisseur d'identité (IdP) initié SSO
• Les utilisateurs peuvent lancer le processus de connexion depuis leur tableau de bord Okta
• Fournisseur d'identité (SP) initié SSO
• Les utilisateurs peuvent accéder à [your-subdomain.udemy.com] et lancer le processus de connexion depuis leur page de connexion Udemy Business
• Provisionnement Just in Time (JIT)
• Les utilisateurs authentifiés via SSO seront provisionnés à Udemy Business dès leur première connexion.
• Tous les attributs utilisateurs configurés pour être envoyés seront mis à jour lors de la connexion de l'utilisateur. Cela ne s'applique pas aux utilisateurs SCIM, car ils sont uniquement gérés par SCIM.
• Utilisateurs Push avec provisionnement en avance (SCIM)
• Les nouveaux utilisateurs associés à l'application Udemy Business sur Okta seront créés sur Udemy Business.
• Mises à jours des profils Push
• Les mises à jour réalisées sur le profil de l'utilisateur par le biais de Okta seront poussées vers Udemy Business pour les utilisateurs associés à Udemy Business sur Okta.
• Désactivation des utilisateurs Push (SCIM)
• Désactiver l'utilisateur ou l'accès au compte de l'utilisateur à l'application par le biais de Okta désactive l'utilisateur sur Udemy Business et le retire de tous les groupes.
• Remarque : pour Udemy Business, désactiver un utilisateur signifie supprimer l'accès à la connexion, mais conserver les informations de l'utilisateur sur Udemy Business en tant qu'utilisateur désactivé.
• Réactiver les utilisateurs
• Les comptes d'utilisateurs peuvent être réactivés sur Udemy Business en réassignant l'application à l'utilisateur via Okta.
• Poussée de groupes (SCIM)
• Les groupes et leurs membres seront poussés vers Udemy Business.La gestion des groupes est limitée aux groupes poussés à partir d'Okta, car nous n'envoyons pas les informations des groupes créés sur Udemy Business.

Étapes de configuration

Remarques : 

• Si vous avez déjà activé la connexion avec authentification unique pour l'application Udemy via Okta, vous n'avez pas besoin de reconfigurer l'authentification unique : vous pouvez passer à l'étape 8.  
• Si vous disposez d'une authentification unique configurée manuellement par notre équipe, vous devez la reconfigurer avec l'application Udemy Business dans Okta (étapes 1 à 7).
• Vous pouvez éviter les temps d'arrêt causés par l'authentification unique en masquant la mosaïque Udemy Business dans votre tableau de bord Okta jusqu'à la fin de la nouvelle configuration de l'authentification unique et du SCIM. 
• À côté de Visibilité de l'application, cliquez sur « Masquer l'icône de l'application aux utilisateurs ».

1 - Pour commencer, connectez-vous à votre compte Udemy Business et accédez à la page Accès utilisateur en cliquant sur Gérer > Paramètres > Authentification unique (SSO).

Cliquez sur Commencer la configuration. Choisissez votre Fournisseur d'identité et suivez les instructions indiquées pour activer le système SCIM et générer vos identifiants de connexion à saisir dans votre Fournisseur d'identité dans le cadre du processus de configuration.

2 - Dans Okta, accédez à la page Applications depuis la barre latérale.

3 - Cliquez sur Parcourir le catalogue d'applications, recherchez Udemy Business et cliquez sur Ajouter.

4 - Ajoutez l'application Udemy Business pour être redirigé vers la page Paramètres généraux de l'application - Requis comme illustré ci-dessous.  Choisissez un nom pour votre libellé d'application et cliquez sur Terminé.

5 - Ensuite, cliquez sur l'onglet S'inscrire puis sur Modifier.

Faites défiler votre écran vers le bas jusqu'à l'option Paramètres d'inscription avancés, ajoutez la valeur Audience URI (ID de l'entité SP) ci-dessous dans le champ correspondant et cliquez sur Enregistrer. 

d905a6ca-adf9-45e2-9b9d-0d6485f27206

 

6 -Sur la même page, faites défiler vers le bas jusqu'à Certificats de signature SAML.  Cliquez sur Actions puis sur Voir les métadonnées de l'IdP.  Copiez l'URL des métadonnées dans le presse-papiers. 

(Sinon, vous pouvez sélectionner Télécharger le certificat pour télécharger le fichier de métadonnées sur votre ordinateur).

7 - Revenez sur votre compte Udemy Business et accédez aux paramètres d'authentification unique (SSO). Sur la page de configuration, choisissez la méthode de configuration de métadonnées appropriée et suivez les instructions pour créer la connexion avec authentification unique auprès de votre Fournisseur d'identité et Udemy Business.

8 - Maintenant que la SSO est activée pour Okta, vous pouvez activer le Provisionnement (SCIM).  Pour commencer, cliquez sur l'onglet Provisionnement, puis sur Configurer l'intégration API.

9 - Cliquez sur Activer l'intégration API et ajoutez votre sous-domaine, CLIENT_ID en tant que nom d'utilisateur et SECRET_ID en tant que mot de passe. 

[Vous pouvez générer ou afficher ces identifiants de connexion sur votre compte Udemy Business en accédant à la page Provisionnement (SCIM) dans Gérer -> Paramètres.]

10 - Cliquez sur Tester les identifiants de connexion API et vous devriez voir un message indiquant que vous avez terminé l'intégration de l'authentification unique. Sinon, envoyez un message à l'équipe de support Udemy Business avec le message d'erreur qui s'affiche.

11 - Cliquez sur Sauvegarder et vous serez redirigé vers la page de configuration de provisionnement de l'application.

12 - Depuis le lien Vers l'application cliquez sur Modifier pour activer les fonctionnalités individuelles. Pour jouir de toutes les capacités, nous vous recommandons d'activer sur cette page les options Créer des utilisateurs, Mettre à jour les attributs des utilisateurd et Désactiver les utilisateurs.

13 - Cliquez sur Sauvegarder

14 - Cliquez sur l'onglet Exercice pour attribuer Udemy Business à des utilisateurs uniques ou à des groupes entiers. Les utilisateurs attribués sont automatiquement approvisionnés après avoir été ajoutés, automatiquement modifiés lorsque des changements sont apportés à leurs profils et automatiquement désactivés lorsqu'ils ne sont plus attribués.

15 - Cliquez sur l'onglet Groupes Push pour envoyer des groupes et des informations sur leurs membres à Udemy Business.

16 - Cliquez sur + Groupes Push et sélectionnez le groupe que vous souhaitez envoyer vers Udemy Business.

Vous pouvez sélectionner chaque groupe ou créer une règle automatique.

17 - Sélectionnez les critères de recherche du groupe et complétez les informations requises pour les groupes pour lesquels vous souhaitez envoyer des informations à Udemy Business

18 - Après avoir sélectionné le groupe, cochez Pousser immédiatement les membres du groupe et envoyez le groupe, mais aussi les membres appartenant au groupe directement après l'avoir sélectionné, puis cliquez sur Enregistrer.

19 - Suivez les étapes précédentes pour la sélection de tous les groupes que vous souhaitez envoyer à Udemy Business.

Remarque : après qu'Okta ait envoyé les informations sur le groupe ou sur l'utilisateur à Udemy Business, nous considérons Okta comme une source fiable et refusons toutes modifications apportées aux profils utilisateurs et groupes sur Udemy Business.

Aperçu

Le système de gestion des identités interdomaines (SCIM, System for Cross-Domain Identity Management) est une API standard dédiée à l'automatisation du provisionnement/déprovisionnement d'utilisateurs et de groupes, ainsi qu'à la mise à jour des données d'utilisateurs et de groupes auprès du fournisseur d'identité (IdP) du client dans le compte Udemy Business.  SCIM est pris en charge par un certain nombre de fournisseurs d'identité comme Okta, Azure AD et OneLogin.  Vous pouvez aussi utiliser l'API SCIM Udemy Business pour d'autres IdP ou vos propres outils.

Si votre organisation utilise l'un des IdP suivants, consultez plutôt nos guides ci-dessous pour configurer SCIM :

• Configuration du provisionnement SCIM avec Okta
• Configuration du provisionnement SCIM avec Azure Active Directory (AD)
• Configuration du provisionnement SCIM avec OneLogin

SCIM utilise une API REST normalisée avec des données au format JSON. Udemy Business prend en charge la version 2.0 de la norme SCIM. L'API est disponible pour tous les clients disposant de l'abonnement d'entreprise.

L'API SCIM Udemy Business prend en charge les fonctionnalités suivantes : 

• Provisionnement des utilisateurs
• Déprovisionnement des utilisateurs (désactivation)
• Modification des adresses e-mail
• Modification des détails utilisateur
• Provisionnement des groupes
• Ajout/suppression d'utilisateurs des groupes

Description du protocole SCIM

Le protocole SCIM est un protocole REST d'application pour le provisionnement et la gestion des données d'identification sur le Web. C'est un protocole de type client-serveur, où le client est le fournisseur d'identité (IdP) et le serveur est Udemy Business.

Le flux de base est le suivant :

• Lorsque l'accès à Udemy Business est octroyé à l'utilisateur par le client, l'IdP nous envoie une demande pour vérifier si cet utilisateur existe dans notre base de données. Le client émet une demande de recherche d'utilisateur par attribut, par exemple, avec un nom d'utilisateur ou une adresse e-mail.
• Si l'utilisateur n'existe pas, l'IdP envoie une demande de création d'utilisateur.
• Si l'utilisateur existe, l'IdP envoie une demande de mise à jour pour l'utilisateur.
• Lorsque l'accès à Udemy Business est révoqué, l'IdP nous envoie une demande de désactivation de l'utilisateur de notre base de données.
• L'IdP peut également envoyer des demandes de modification des détails de l'utilisateur.

Comment accéder à l'API ?

Pour obtenir les informations d'identification d'autorisation pour vous connecter à l'API SCIM, vous devez configurer l'intégration SCIM via la page Gérer -> Paramètres -> Provisionnement (SCIM) dans le compte Udemy Business. Seuls les administrateurs ont accès à cette page. 

Cliquez sur Commencer la configuration.

À l'étape suivante, sélectionnez Choisir un fournisseur, puis Personnaliser.

 Cliquez sur Générer le jeton.

Sur cet écran, cliquez sur Copier afin de copier le jeton Bearer dans le presse-papiers.

Vous devez inclure l'en-tête HTTP Autorisation avec le jeton Bearer dans vos demandes, par exemple :

GET /scim/v2/Users HTTP/1.1

Hôte : myorganization.udemy.com

Accepter : application/scim+json

Autorisation : Bearer <entrez votre jeton Bearer ici>

Content-Type: application/scim+json

L'API SCIM Udemy Business utilise le protocole HTTP et n'est disponible qu'avec une connexion HTTPS sécurisée.

L'URL de base pour l'API est la suivante : https://<organization>.udemy.com/scim/v2/. 

Si vous développez une application qui doit interagir avec l'API SCIM Udemy Business, nous vous recommandons de vous reporter aux RFC SCIM incluses à la fin de ce document. L'implémentation de l'API SCIM Udemy Business est conforme à la norme.

Adresses d'API SCIM

Adresses d'informations

Ces adresses correspondent à des informations et servent à configurer les clients. L'authentification n'est pas nécessaire pour y accéder, vous n'avez donc pas besoin d'inclure l'en-tête Autorisation lors de l'accès à ces adresses.

GET /ServiceProviderConfig

Renvoie des détails sur l'implémentation SCIM Udemy Business, y compris les méthodes prises en charge.

GET /Schemas

Renvoie des informations sur les schémas que notre implémentation SCIM prend en charge. Les schémas pris en charge sont Utilisateurs et Groupes.

GET /Schemas/Users

Renvoie tous les attributs que nous prenons en charge pour les ressources Utilisateur.

GET /Schemas/Groups

Renvoie tous les attributs que nous prenons en charge pour les ressources Groupe.

Adresses d'utilisateur

Ces adresses permettent de répertorier les utilisateurs, de filtrer par attributs, d'ajouter de nouveaux utilisateurs, de mettre à jour les informations sur les utilisateurs ou de désactiver/anonymiser les utilisateurs. N'oubliez pas que vous n'aurez accès qu'aux utilisateurs qui ont été créés à l'aide de l'API SCIM, les utilisateurs créés dans Udemy Business ne seront pas disponibles, à moins de les rapprocher via SCIM. Vous trouverez plus de détails sur le rapprochement ci-dessous.

Attributs pris en charge

Attribut SCIM	Requis ?	Description
userName	Oui	Nom d'utilisateur provenant de l'IdP. Doit être unique.
name, { givenName, familyName }	Non	Prénom et nom de famille de l'utilisateur. Même s'ils ne sont pas obligatoires, nous vous recommandons de toujours spécifier ces attributs, car cela facilite l'identification des utilisateurs.
emails[type=”work”]]['value’]	Oui	Adresse e-mail de l'utilisateur, doit être unique.
active	Oui	Indicateur de désactivation/réactivation des utilisateurs
title	Non	Intitulé du poste de l'utilisateur, par exemple « Ingénieur sénior »
externalId	Oui	ID externe de l'utilisateur provenant de l'IdP. Doit être unique.

Si vous spécifiez d'autres attributs que ceux indiqués dans cette liste, ils seront ignorés.

GET /Users

Renvoie une liste paginée d'utilisateurs, avec, par défaut, 12 utilisateurs par page. Vous pouvez spécifier les paramètres count et startIndex pour paginer l'ensemble des résultats. Par exemple :

GET /scim/v2/Users?startIndex=1&count=100 HTTP/1.1

 Hôte : myorganization.udemy.com

 Accepter : application/scim+json

 Autorisation : Bearer <entrez votre jeton Bearer ici>

• startIndex est l'index de base 1 du premier résultat dans l'ensemble actuel des résultats de la liste (décalage)
• count correspond au nombre de ressources renvoyées dans une page de réponse de liste (limite). Vous pouvez extraire 1 000 utilisateurs maximum par demande. Si cet élément est omis, la valeur par défaut est 12.

GET /Users?filter=

Cette adresse permet de filtrer les utilisateurs par attributs spécifiques. Par exemple, il est possible d'effectuer une recherche par attribut userName :

GET /Users?filter=userName eq "gloria.graynor”

Dans l'exemple ci-dessus, vous devez encoder les paramètres d'URL de sorte que l'URL ressemble à ce qui suit :
GET /Users?filter=userName%20eq%20%22gloria.graynor%22

Cette opération renvoie la liste des ressources utilisateur. S'il n'y a pas de résultat, une liste vide est renvoyée.

Les filtres pris en charge sont les suivants :

• userName
• externalID
• emails[type eq=”work”]

Les opérateurs pris en charge sont les suivants :

• et
• eq

Réponse :

• Code d'état HTTP 200 avec la liste des entités en cas de réussite
• Code d'état HTTP 501 si un filtre non pris en charge a été fourni

POST /Users

Cette adresse permet de créer (provisionner) de nouveaux utilisateurs dans Udemy Business. 

La réponse contient un attribut id à utiliser lorsque cet utilisateur est référencé dans toutes les demandes ultérieures.

Remarque :

• Les nouveaux utilisateurs créés de cette façon n'utiliseront pas de licence tant qu'ils ne se seront pas connectés pour la première fois.
• S'il existait une invitation en attente pour cet utilisateur, elle est utilisée à ce stade.
  L'utilisateur est ajouté à des groupes et il reçoit les affectations de rôle/cours appropriées selon les spécifications de l'invitation.
• Si vous tentez de créer un utilisateur qui existe déjà dans Udemy Business, cet utilisateur est alors géré par SCIM (s'affiche avec une petite icône de lien dans les pages Gérer les utilisateurs). Le statut et l'utilisation de licence de cet utilisateur ne seront pas modifiés. Si l'utilisateur était actif, il le restera, et si l'utilisateur était inactif, il le restera également.

Réponse :

• Code d'état HTTP 201 et la ressource de l'utilisateur en cas de réussite
• Code d'état HTTP 409 si un membre ayant le même attribut userName existe déjà dans l'organisation
• Code d'état HTTP 400 avec les détails de l'erreur dans le corps de la réponse si la demande n'a pas été validée

GET /Users/<id>

Cette adresse permet d'extraire les détails relatifs à l'utilisateur spécifié. Le paramètre id dans la demande ci-dessus est un identifiant unique qui a été renvoyé lorsque l'utilisateur a été créé à l'aide de SCIM ou lors de la création de la liste de tous les utilisateurs existants.

Réponse :

• Code d'état HTTP 200 et la ressource de l'utilisateur en cas de réussite
• Code d'état HTTP 404 si l'utilisateur est introuvable

PUT /Users/<id>

Cette adresse permet de remplacer (écraser) les détails utilisateur dans Udemy Business. S'il est spécifié, l'attribut active permet de désactiver ou de réactiver l'utilisateur.

Réponse :

• Code d'état HTTP 200 et la ressource d'utilisateur mise à jour
• Code d'état HTTP 404 si l'utilisateur n'existe pas. 
• Code d'état HTTP 400 en cas de tentative de désactivation d'un propriétaire d'organisation.

PATCH /Users/<id>

Cette adresse permet d'effectuer des mises à jour partielles des détails de l'utilisateur dans notre système, ce qui signifie que vous pouvez l'utiliser pour modifier seulement certains attributs de l'utilisateur. C'est donc l'inverse de PUT, qui remplace l'utilisateur dans son intégralité. 

Elle peut contenir l'attribut active, qui désactive et réactive l'utilisateur.

• Le corps de chaque demande DOIT contenir l'attribut « schemas » avec la valeur d'URI suivante : urn:ietf:params:scim:api:messages:2.0:PatchOp.
• Le corps d'une demande PATCH HTTP doit contenir l'attribut « Operations », dont la valeur est une série d'opérations PATCH.  Chaque objet d'opération PATCH DOIT avoir exactement un membre « op », dont la valeur indique l'opération à effectuer, et PEUT avoir « add », « remove » ou « replace ».
• L'attribut « path » peut être vide. Dans ce cas, « value » doit être un dictionnaire au format {“path”: “value”}.

Réponse :

• Code d'état HTTP 200 et la ressource de l'utilisateur mise à jour en cas de réussite
• Code d'état HTTP 404 si l'utilisateur est introuvable
• Code d'état HTTP 400 en cas de tentative de désactivation d'un propriétaire d'organisation ou en cas d'opération non valide.

Adresses de groupe

Attributs pris en charge

Attribut SCIM	Requis ?	Description
displayName	Oui	Titre du groupe. Doit être unique parmi tous les groupes Udemy Business.
externalId	Non	ID externe du groupe provenant du fournisseur d'identité.

Si vous spécifiez d'autres attributs que ceux indiqués dans cette liste, ils seront ignorés.

GET /Groups

Cette adresse permet d'obtenir la liste de tous les groupes provisionnés. Indiquez les paramètres de chaîne de requête startIndex et count afin de paginer les résultats. 

N'oubliez pas que seuls les groupes créés à l'aide de SCIM seront renvoyés. Les groupes créés dans Udemy Business ne seront pas renvoyés.

GET /Groups?filter=

Cette adresse permet de filtrer les groupes par attributs spécifiques. Par exemple, il est possible d'effectuer une recherche par attribut displayName :

GET /Groups?filter=displayName eq "Marketing”

Cette opération renvoie la liste des ressources de groupe. S'il n'y a pas de résultat, une liste vide est renvoyée.

Vous devez encoder les paramètres d'URL pour que la demande ressemble à ce qui suit :
GET /Groups?filter=displayName%20eq%20%22Marketing%22

Les filtres pris en charge sont les suivants :

• displayName
• externalId
• ID
• member.value

Les opérateurs pris en charge sont les suivants :

• et
• eq

Réponse :

• Code d'état HTTP 200 avec la liste des entités en cas de réussite
• Code d'état HTTP 501 si un filtre non pris en charge est utilisé

POST /Groups

Cette adresse permet de créer (provisionner) de nouveaux groupes dans Udemy Business. 

Réponse :

• Code d'état HTTP 409. Si un groupe provisionné portant le même nom existe déjà dans l'organisation, nous renvoyons le code 409 (Conflit) avec un code d'erreur scimType relatif à l'unicité.
• Lorsque le groupe a été créé avec succès, nous renvoyons la représentation complète du groupe avec le code d'état HTTP 201 (Créé) avec l'en-tête Location qui contient l'URL de la ressource de groupe créée.

GET /Groups/<id>

Cette adresse permet d'extraire les détails du groupe à partir d'Udemy Business. 

Réponse :

• Code d'état HTTP 200 et une ressource de groupe
• Code d'état HTTP 404 si le groupe est introuvable

PUT /Groups/<id>

Cette adresse permet de remplacer les détails du groupe dans Udemy Business.

Réponse :

• Code d'état HTTP 200 et la ressource de groupe mise à jour 
• Code d'état HTTP 404 si le groupe n'existe pas. 

PATCH /Groups/<id>

Cette adresse permet d'effectuer des mises à jour partielles des détails du groupe dans Udemy Business. 

L'adresse PATCH est plus complexe à utiliser que d'autres, car elle prend en charge différents types d'opérations (qui peuvent être combinées) :

• L'opération replace modifie la valeur spécifiée. Dans notre cas, il s'agit des membres ou du nom de groupe.
• L'opération remove supprime une membre du groupe.
• L'opération add ajoute des membres au groupe.

Les règles sont les suivantes :

• Nous ne supprimons jamais les membres non provisionnés du groupe (en cas d'opération « replace » sur des membres, par exemple).
• Une demande PATCH, quel que soit le nombre d'opérations qu'elle intègre, DOIT être traitée comme atomique.

Les validations d'entrée sont les suivantes :

• Le corps de chaque demande DOIT contenir l'attribut « schemas » avec la valeur d'URI suivante : urn:ietf:params:scim:api:messages:2.0:PatchOp.
• Le corps d'une demande PATCH HTTP doit contenir l'attribut « Operations », dont la valeur est une série d'opérations PATCH.  Chaque objet d'opération PATCH DOIT avoir exactement un membre « op », dont la valeur indique l'opération à effectuer, et PEUT avoir « add », « remove » ou « replace ».
• L'attribut « path » peut être vide. Dans ce cas, « value » doit être un dictionnaire au format {“path”: “value”}.
• Pour une opération « Remove », le chemin « members » est requis.
• Pour une opération « Add », le chemin « members » ou « externalId » doit être présent.
• Pour une opération « Replace », le chemin « members » doit être présent. Si ce n'est pas le cas, cela signifie que nous remplaçons les détails du groupe (comme le nom du groupe), mais pas les membres.

Remarque :

• L'affectation ou l'annulation de l'affectation d'utilisateurs à un groupe s'effectue de manière asynchrone, donc les modifications ne sont pas visibles immédiatement dans Udemy Business.
• Nous ne prenons pas en charge les groupes imbriqués, ils sont donc ignorés lors de cette demande.

Réponse :

• Code d'état HTTP 204 si l'opération a réussi.
• Code d'état HTTP 404 si le groupe n'existe pas.
• Code d'état HTTP 404 avec les détails d'erreur en cas de tentative d'affectation d'un groupe à un utilisateur qui n'est pas membre de l'organisation.
• Code d'état HTTP 400 avec les détails de l'erreur dans le corps de la réponse si la demande n'a pas été validée

DELETE /Groups/<id>

Cette adresse permet de supprimer ou de déprovisionner un groupe dans Udemy Business. La suppression d'un groupe n'entraîne pas la suppression des utilisateurs qui s'y trouvent. Les utilisateurs seront simplement retirés du groupe supprimé.

Les règles sont les suivantes :

• Si le groupe contient des membres non provisionnés, supprimez les utilisateurs provisionnés du groupe et supprimez l'enregistrement « OrganizationSCIMGroup ».

Réponse :

• Code d'état HTTP 204 si l'opération a réussi.
• Code d'état HTTP 404 si le groupe n'existe pas.

Informations supplémentaires

• Présentation de SCIM : http://www.simplecloud.info
• RFC 7642, SCIM - Definitions, Overview, Concepts, and Requirements : https://tools.ietf.org/pdf/rfc7642.pdf
• RFC 7643, SCIM - Core Schema : https://tools.ietf.org/pdf/rfc7643.pdf
• RFC 7644, SCIM - Protocol : https://tools.ietf.org/pdf/rfc7644.pdf

Nous avons deux façons de fournir à vos utilisateurs l'accès à votre compte Udemy Business : par le biais de l'authentification unique (SSO) et par une invitation envoyée par les administrateurs/administrateurs de groupe.

Cette fonctionnalité est une option supplémentaire si vous utilisez le processus d'invitation, ce qui permet à vos utilisateurs d'envoyer l'e-mail d'invitation eux-mêmes depuis votre page d'accueil de compte (par ex., company.udemy.com), une fois qu'ils utilisent un domaine de messagerie approuvé/vérifié qui a été préconfiguré par vous, l'administrateur.

Comment approuver un domaine de messagerie

Dans les Paramètres de la page Accès utilisateur, les administrateurs peuvent spécifier un domaine de messagerie (ou plusieurs domaines) qui sont approuvés pour rejoindre votre compte Udemy Business.

Cette fonctionnalité est à la fois disponible pour les abonnements Team et Enterprise, mais la définition du domaine de messagerie approuvé sur la page Accès utilisateur n'est accessible que par les propriétaires et les administrateurs, pas par les administrateurs de groupe.

Partager l'URL de la page d'accueil de votre compte pour que les utilisateurs puissent s'inscrire

Vous pouvez partager l'URL de la page d'accueil de votre compte Udemy Business avec les utilisateurs et les groupes dans l'organisation qui devraient y avoir accès, par exemple, par Slack, e-mail, intranet ou simplement en ajoutant le lien de votre système de gestion d'apprentissage (LMS).

Lorsqu'un utilisateur accède à l'URL de la page d'accueil de votre compte, il peut saisir son adresse e-mail pour se connecter une fois que l'adresse e-mail saisie correspond à un domaine de messagerie approuvé qui a été prédéfini par l'administrateur.

Après avoir saisi une adresse e-mail approuvée, ils reçoivent une instruction à l'écran leur demandant de consulter leurs e-mails afin de vérifier leur compte.

Utilisation et vérification de la licence

Les utilisateurs doivent finaliser l'inscription à leur compte afin de pouvoir demander leur licence. 

Si aucune licence n'est disponible, le message ci-dessous s'affiche pour que l'utilisateur contacte son responsable ou le service informatique.

Les utilisateurs devront alors vérifier les informations relatives à leur compte, par le biais du lien contenu dans l'e-mail de vérification qu'ils ont reçu. Le lien de vérification expire au bout d'une heure*. Une fois leur compte vérifié, ils pourront s'inscrire en indiquant leur nom, leur adresse e-mail et leur mot de passe.

*Remarque : les personnes utilisant l'authentification unique (SSO)/System for Cross-Domain Management (SCIM) ne seront pas soumis à ce processus de vérification. 

Si l'adresse e-mail saisie par l'utilisateur ne correspond pas au domaine de messagerie approuvé, le message ci-dessous s'affiche et l'utilisateur ne pourra pas s'inscrire.

Si aucune licence n'est disponible, le message ci-dessous s'affiche pour que l'utilisateur contacte son responsable ou le service informatique.

Les utilisateurs se connectant avec le processus de domaine de messagerie approuvé apparaitront sur l'écran Invitations en attente dans la section Gérer les utilisateurs, mais ils seront distingués par la mention « Invité par e-mail approuvé ».

Cette fonctionnalité est à la fois disponible pour les abonnements Team plan et Enterprise plan, mais la définition du domaine de messagerie approuvé sur la page Accès utilisateur n'est accessible que par les propriétaires et les administrateurs, pas par les administrateurs de groupe.