Automatisations
Synchronisation des utilisateurs
Provisioning, déprovisioning et mises à jour de rôle automatiques depuis votre fournisseur d'identité — Entra ID, Google Workspace ou Okta. Joiner-mover-leaver sans tickets IT manuels.
Mis à jour le 18 mai 2026
Configuration · Automatisation · 9.3
La synchronisation des utilisateurs maintient la base utilisateurs de Gfacility alignée automatiquement avec votre fournisseur d’identité — généralement Entra ID, parfois Google Workspace ou Okta. Les nouveaux embauchés ont le bon rôle immédiatement ; les partants sont bloqués sans délai ; les changements de rôle suivent les mutations RH sans que l’IT n’intervienne.
Pourquoi cela compte pour le métier
« Nouveau, jour 1, pas d'accès »
Provisioning SCIM à la création dans Entra → compte prêt pour la connexion.
« Ex-collègue encore actif un mois plus tard »
Déprovisioning dans les 5 min après désactivation dans l'IdP — pas de fenêtre de leaver.
« Promotion sans mise à jour de rôle »
Mapping d'appartenance de groupe → groupe IdP « FM-managers » = rôle Gfacility « Coordinateur FM ».
« Dérive des permissions »
La sync écrase les ajustements manuels → source unique de vérité, pas d'exceptions invisibles.
Quels modes de provisioning
SCIM (push)
L'IdP pousse directement les changements vers Gfacility. Temps réel, l'option la plus propre pour Entra et Okta.
Just-in-time
Compte créé à la première connexion. Pas de pré-provisioning ; rôle dérivé des claims SAML/OIDC.
Sync planifiée
Gfacility lit l'IdP toutes les X minutes/heures. Fonctionne sans support SCIM ; latence possible.
Ce que vous configurez
| Champ | Ce qu'il pilote |
|---|---|
| Système source | Entra · Google Workspace · Okta · AFAS · Workday. Un système maître, éventuellement un second pour des champs spécifiques. |
| Périmètre | Quelles OU, quels groupes de sécurité, quelles licences ? Limitez à qui a réellement besoin de Gfacility. |
| Mapping de champs | UPN → email, displayName → nom, department → département. Un-à-un ou via transformation. |
| Mapping groupe-vers-rôle | Quel groupe IdP devient quel rôle Gfacility ? Un-à-un ou plusieurs groupes → un rôle. |
| Comportement leaver | Désactiver · anonymiser · griser pendant 30 jours · supprimer après X jours. |
| Politique de conflit | Que faire si un changement manuel dans Gfacility serait écrasé par la sync ? Le plus souvent « l'IdP gagne ». |
| Fréquence | Temps réel (SCIM) ou planifié (15 min / 1 h / jour). Rapide = peu de latence, demande plus de quota. |
| Monitoring | Tableau de bord d'état, log d'erreurs, alerte au-delà de X enregistrements en échec. |
Quelles décisions allez-vous prendre ?
Quel IdP est maître ?
Entra est le standard. AFAS peut être une meilleure source pour département et centre de coûts, avec Entra pour l'auth.
Utilisateurs externes
Prestataires via comptes invités ou tenant séparé ? Le just-in-time à la première connexion est souvent pratique.
Stratégie leaver
Désactiver immédiatement (sécurité) vs griser pendant 30 jours (continuité du reporting). À aligner avec le DPO.
Revue périodique
Trimestrielle : les utilisateurs actifs Gfacility correspondent-ils aux actifs RH ? Écart = problème de sync.