MicrocosmWorksInnover et Architecturer le Cosmos Numérique
Ă€ proposContact
MicrocosmWorksInnover et architecturer des cosmos numériques

Fournir des solutions informatiques qui comptent. Nous sommes passionnés par la technologie, la sécurité et aidons les entreprises à croître grâce à une infrastructure informatique fiable et innovante.

[email protected]
+91 7011868196
New Delhi, India

Hub de Croissance IA

Hub IAInnovation pour les startupsAccélérateur d'entreprise

Solutions

Toutes les solutionsApplications de bien-être et de fitnessPlateforme vidéo IADéveloppement d'agents IA

Ressources

PerspectivesGuides de l'industriePlans d'utilisationModèles d'architectureÉtudes de cas

Entreprise

Ă€ propos de nousContactNotre travail

Services

Consultation numériqueInfrastructure cloudDéveloppement SaaSDéveloppement IATechnologie vidéo
Développement ERPPersonnalisation ZohoDéveloppement OdooIntégration SalesforceDéveloppement CRM personnalisé
Intégration QuickBooksSolutions IoTDéveloppement Blockchain
Consultation en cybersécuritéSupport IT - L3

© 2026 MicrocosmWorks. Tous droits réservés.

Politique de confidentialitéConditions d'utilisation
Retour aux Études de Cas
Enterprise AuthPublié June 22, 2026 · Mis à jour June 22, 2026

Intégration Okta SSO & SCIM pour une plateforme d'entreprise de santé et bien-être

Une plateforme SaaS d'entreprise de santé et bien-être devait prendre en charge de grands clients organisationnels qui exigeaient le Single Sign-On (SSO) pour un accès fluide des employés et le provisionnement/déprovisionnement automatisé des utilisateurs via SCIM — une exigence non négociable pour les ventes aux entreprises.

Discutez de Votre Projet
okta-sso-scim-integration.webp
Enterprise Auth
Domain
11
Technologies
6
Key Results
Delivered
Status

Le DĂ©fi

Les clients d'entreprise refusaient d'adopter la plateforme sans fédération d'identité et gestion automatisée du cycle de vie :

  • Exigence SSO — Les services IT ont exigĂ© que les employĂ©s se connectent via leur fournisseur d'identitĂ© d'entreprise, et non avec des identifiants sĂ©parĂ©s
  • Charge de travail d'intĂ©gration manuelle — L'ajout manuel de centaines d'employĂ©s lors de l'inscription d'une nouvelle organisation nĂ©cessitait des jours de travail administratif
  • Risque de dĂ©sactivation — Lorsque les employĂ©s quittaient l'organisation, leurs comptes de plateforme restaient actifs pendant des semaines, ce qui soulevait des problèmes de conformitĂ© et d'accès aux donnĂ©es
  • Accès basĂ© sur les groupes — DiffĂ©rents groupes d'employĂ©s nĂ©cessitaient diffĂ©rents niveaux de fonctionnalitĂ©s et accès aux programmes
  • ComplexitĂ© multi-locataire — Chaque client d'entreprise avait son propre locataire de fournisseur d'identitĂ© avec des configurations, des mappages d'attributs et des structures de groupe diffĂ©rents
  • Coexistence d'authentifications existantes — La plateforme disposait dĂ©jĂ  d'une authentification par email/mot de passe et OAuth ; le SSO devait coexister sans perturber les flux existants

Notre Solution

Nous avons mis en œuvre Okta SSO via SAML 2.0/OIDC pour l'authentification et SCIM 2.0 pour le provisionnement, le déprovisionnement et la synchronisation de groupe automatisés des utilisateurs — intégré au backend multi-locataire existant.

Architecture

  • Fournisseur d'identitĂ© : Okta (locataires gĂ©rĂ©s par le client)
  • Protocole SSO : SAML 2.0 (principal) + OIDC (alternatif)
  • Provisionnement : Serveur SCIM 2.0 intĂ©grĂ© au backend de la plateforme
  • Backend : NestJS avec PostgreSQL et Redis
  • Couche d'authentification : Sessions basĂ©es sur JWT avec Ă©mission de jetons compatible SSO
  • Tableau de bord administrateur : Configuration de locataire basĂ©e sur React pour la configuration SSO
  • Authentification existante : Email/mot de passe + Google OAuth conservĂ©s aux cĂ´tĂ©s du SSO

---

Implémentation SSO (SAML 2.0 / OIDC)

Flux SAML 2.0

Le flux SAML initié par le SP fonctionne comme suit : l'utilisateur visite la page de connexion et sélectionne le SSO, saisit le domaine de messagerie de son entreprise, la plateforme identifie la configuration Okta du locataire à partir du domaine, envoie une AuthnRequest à Okta, l'utilisateur s'authentifie, Okta renvoie une assertion SAML signée, la plateforme valide l'assertion et crée une session avec des jetons JWT.

Configuration par locataire

Le SSO de chaque locataire est configuré avec l'URL SSO de son fournisseur d'identité, son ID d'entité, son certificat X.509 pour la validation de signature, ainsi que l'ID d'entité SP de la plateforme, l'URL du service de consommateur d'assertion et les mappages d'attributs des champs de profil du fournisseur d'identité vers les champs utilisateur de la plateforme.

Alternative OIDC

Pour les clients préférant OIDC à SAML, la plateforme prend en charge le flux Authorization Code avec PKCE, en utilisant le même mappage d'attributs via les OIDC claims et la validation du jeton ID avec JWKS.

Routage SSO multi-locataire

La plateforme achemine les utilisateurs vers le fournisseur d'identité correct en fonction de leur domaine de messagerie. Lorsqu'un utilisateur saisit son email, la plateforme recherche le domaine par rapport aux configurations SSO du locataire. Si le SSO est configuré, l'utilisateur est redirigé vers le locataire Okta de son organisation. Sinon, il se rabat sur l'email/mot de passe ou Google OAuth. Les URL personnalisées sont également prises en charge pour l'accès SSO direct. ---

Implémentation SCIM 2.0

Serveur SCIM

La plateforme expose une API conforme à SCIM 2.0 que Okta appelle pour gérer les utilisateurs et les groupes. L'API prend en charge toutes les opérations du cycle de vie des utilisateurs (créer, lire, mettre à jour, désactiver, supprimer), le CRUD de groupe avec gestion de l'adhésion, et les points de terminaison de découverte SCIM standard pour les capacités, les schémas et les types de ressources.

Cycle de vie de l'utilisateur via SCIM

Provisionnement :

Lorsqu'un administrateur attribue un utilisateur à l'application de la plateforme dans Okta, Okta envoie une requête de création à l'API SCIM. La plateforme crée le compte utilisateur avec l'association au locataire, le marque comme actif et provisionné par SSO, et l'utilisateur peut immédiatement se connecter via SSO.

Mises Ă  jour de profil :

Lorsqu'un administrateur met à jour le profil d'un utilisateur dans Okta, les modifications sont transmises à la plateforme via SCIM. Si le département change, l'appartenance au groupe est réévaluée automatiquement.

DĂ©provisionnement :

Lorsqu'un utilisateur est retiré de l'application dans Okta, la plateforme désactive le compte — révoquant toutes les sessions actives immédiatement, empêchant toute connexion ultérieure, conservant les données selon la politique de rétention et libérant la place de licence.

RĂ©activation :

Réattribuer un utilisateur dans Okta réactive son compte avec toutes les données historiques intactes.

Synchronisation des groupes

Les groupes Okta sont mappés aux rôles de la plateforme et aux niveaux de programme — contrôlant l'accès à différents niveaux de fonctionnalités, aux capacités d'administration, aux tableaux de bord spécialisés et aux inscriptions aux programmes exclusifs. Les changements d'appartenance à un groupe dans Okta sont transmis via SCIM et reflétés en temps réel sans nécessiter de reconnexion. ---

Sécurité et authentification

Émission de jetons après SSO

Après la validation de l'assertion SAML, la plateforme émet des JWTs à portée locataire avec des claims pour l'identité de l'utilisateur, l'organisation, les rôles (dérivés de l'appartenance au groupe SCIM), la méthode d'authentification et le fournisseur d'identité — permettant une différenciation d'audit entre le SSO et les autres méthodes d'authentification.

Gestion des sessions

  • Les sessions SSO respectent la durĂ©e de vie des sessions Okta
  • Single Logout (SLO) pris en charge pour la terminaison de session lorsque l'utilisateur se dĂ©connecte d'Okta
  • Webhook de dĂ©connexion par canal arrière pour la rĂ©vocation immĂ©diate de session
  • La dĂ©sactivation SCIM rĂ©voque toutes les sessions actives dans les 60 secondes

Contrôles de sécurité

  • Validation de la signature de la rĂ©ponse SAML par rapport au certificat X.509 du locataire
  • PrĂ©vention de la relecture d'assertion via le suivi Ă  usage unique
  • TolĂ©rance de dĂ©calage d'horloge pour la validation de l'horodatage d'assertion
  • Validation de la restriction d'audience
  • Assertions chiffrĂ©es prises en charge pour les dĂ©ploiements sensibles
  • Authentification du point de terminaison SCIM via des Bearer tokens par locataire
  • Limitation de dĂ©bit sur les points de terminaison SCIM

---

Tableau de bord de configuration administrateur

Configuration SSO du locataire

Le tableau de bord administrateur propose un flux de configuration en libre-service :

  1. Sélection du protocole — Choisir SAML 2.0 ou OIDC
  2. Téléchargement des métadonnées — Télécharger le XML des métadonnées IdP (remplit automatiquement la configuration)
  3. Mappage d'attributs — Mapper les champs de profil du fournisseur d'identité aux champs utilisateur de la plateforme
  4. Vérification de domaine — Vérifier la propriété du ou des domaines de messagerie pour le routage SSO
  5. Connexion de test — Lancer une connexion SSO de test avant d'activer pour tous les utilisateurs
  6. Configuration SCIM — Générer un Bearer token pour la configuration du provisionnement SCIM
  7. Mappage de groupes — Mapper les groupes du fournisseur d'identité aux rôles et niveaux de la plateforme

Le tableau de bord fournit également des métadonnées SP téléchargeables pour une configuration facile de l'application du fournisseur d'identité. ---

Fonctionnalités clés

  1. Prise en charge de SAML 2.0 + OIDC — Choix de protocole flexible par locataire
  2. Provisionnement SCIM 2.0 — Création, mises à jour et désactivation automatisées des utilisateurs
  3. Mappage groupe-rôle — Les groupes de fournisseurs d'identité contrôlent les niveaux d'accès et les programmes de la plateforme
  4. Déprovisionnement instantané — La désactivation SCIM révoque l'accès dans les 60 secondes
  5. Routage SSO multi-locataire — Découverte IdP basée sur le domaine de messagerie à travers les locataires
  6. Méthodes d'authentification coexistantes — SSO aux côtés de l'email/mot de passe et Google OAuth
  7. Configuration en libre-service — Tableau de bord administrateur pour la configuration SSO sans support technique
  8. Single Logout — Session de la plateforme terminée lorsque l'utilisateur se déconnecte du fournisseur d'identité
  9. Piste d'audit — Chaque opération SCIM et événement SSO enregistré pour la conformité
  10. Synchronisation de groupes SCIM — Modifications de rôles et de programmes en temps réel à partir de l'appartenance à un groupe de fournisseurs d'identité

RĂ©sultats

DĂ©blocage d'entreprise : Exigence SSO + SCIM satisfaite, permettant la conclusion de contrats d'entreprise
Rapidité d'intégration : Organisation de 500 utilisateurs provisionnée en quelques minutes contre des jours de configuration manuelle
Conformité au déprovisionnement : Désactivation propagée dans les 60 secondes suivant la suppression du fournisseur d'identité

Stack Technologique

OktaSAML 2.0OIDCSCIM 2.0NestJSTypeScriptPostgreSQLRedisJWTReactBearer Token Authentication

caseStudyDetail.more Études de Cas

Découvrez plus de nos implémentations techniques

AI Accounting

Traitement de factures assisté par l'IA avec OCR et intégration QuickBooks

Une entreprise de taille moyenne, traitant des centaines de factures fournisseurs chaque mois, devait éliminer la saisie manuelle des données en extrayant automatiquement les données des factures à l'aide de l'IA/OCR et en les synchronisant directement dans QuickBooks pour la tenue de livres et le suivi des paiements.

Lire l'Étude de Cas
Video Encoding

Insertion d'annonces côté client (CSAI) avec analyse des marqueurs SCTE-35 et intégration de lecteurs multiplateformes

Une plateforme de streaming vidéo devait implémenter l'insertion d'annonces côté client (CSAI) sur les applications web, mobiles et de télévision connectée — permettant des expériences publicitaires personnalisées au niveau de l'appareil avec un support complet d'interaction publicitaire (superpositions cliquables, bannières complémentaires, boutons de saut) que l'insertion côté serveur ne peut pas offrir.

PrĂŞt Ă  Transformer Votre Entreprise ?

Discutons de la façon dont nous pouvons appliquer des solutions similaires à vos défis.

Contactez-NouscaseStudyDetail.viewAllCaseStudies
Adoption IT : La configuration SSO en libre-service a réduit les tickets de support à l'intégration de 80%
Posture de sécurité : La gestion centralisée des identités a éliminé les comptes orphelins
Coexistence d'authentifications : Les clients plus petits ont continué à utiliser l'email/mot de passe sans interruption
Lire l'Étude de Cas
Web Scraping

Plateforme de Web Scraping et de Génération de Contenu de Blog Propulsée par l'AI

Une entreprise médiatique avait besoin d'une plateforme de contenu intelligente capable d'automatiser la création de contenu de blog en récupérant du contenu web existant, en l'analysant à l'aide de l'AI et en générant des articles de blog originaux et optimisés pour le SEO à partir des données extraites.

Lire l'Étude de Cas

Questions fréquemment posées

MicrocosmWorks a mis en œuvre le protocole SCIM 2.0 pour permettre l'approvisionnement et le déprovisionnement automatique des utilisateurs entre Okta et la plateforme de santé et de bien-être. Ainsi, lorsque les IT admins ajoutent, modifient ou suppriment des utilisateurs dans le répertoire d'Okta, ces changements se propagent à l'application en quelques secondes. Cela élimine la création manuelle de comptes, les mises à jour des autorisations et les tâches de désactivation que les IT teams géraient auparavant via des tickets de support, réduisant ainsi le coût de la gestion des accès d'environ 90 %.

MicrocosmWorks a construit une couche de mappage de rôles configurable qui traduit les appartenances aux groupes Okta en rôles et permissions au niveau de l'application, prenant en charge à la fois les mappages directs de groupe à rôle et les règles complexes qui combinent plusieurs appartenances à des groupes. Lorsqu'une appartenance de groupe d'utilisateur change dans Okta, l'intégration SCIM met à jour leurs permissions d'application en temps réel, et le système enregistre chaque modification de permission pour la conformité à l'audit.

MicrocosmWorks a mis en œuvre la révocation de session en temps réel qui surveille les événements de déprovisionnement SCIM et invalide immédiatement toutes les sessions actives pour l'utilisateur désactivé sur tous les appareils et navigateurs. Le système n'attend pas l'expiration des tokens ; il pousse activement la révocation vers le session store en quelques secondes après l'événement Okta, ce qui est crucial pour la security compliance lorsque des employés sont licenciés et nécessitent la suppression immédiate de l'accès.

Oui, MicrocosmWorks a conçu la couche d'authentification pour prendre en charge plusieurs fournisseurs d'identité concurrents grâce aux règles de routage d'Okta, permettant aux utilisateurs de différents annuaires d'entreprise de s'authentifier via leurs IdP respectifs tout en accédant à la même instance d'application. Ceci est essentiel pendant les transitions de M&A où les organisations fusionnées maintiennent des domaines Active Directory distincts, et le système gère les différences de mappage d'attributs entre les IdP de manière transparente.

MicrocosmWorks met en œuvre les intégrations Okta SSO et SCIM à des tarifs de 25 $ à 45 $ de l'heure, une intégration typique prenant 3 à 6 semaines selon la complexité du mappage des rôles et le nombre d'attributs utilisateur existants à synchroniser. Cet investissement représente une fraction du coût continu de la gestion manuelle des utilisateurs et du risque de sécurité lié à la révocation tardive des accès, et est souvent une exigence pour la conclusion de contrats de vente d'entreprise.