Configurer SCIM pour Vimeo

Les comptes Enterprise pour lesquels l'authentification unique (SSO) est activée peuvent utiliser le système de gestion des identités interdomaines (SCIM) pour créer et gérer les comptes des membres de l'équipe et des groupes d'utilisateurs sur Vimeo. Le SCIM (System for Cross-domain Identity Management) est une norme permettant d'automatiser l'échange d'informations sur l'identité des utilisateurs entre les domaines d'authentification ou les systèmes informatiques.

Ce guide explique comment configurer une connexion SCIM avec Vimeo pour votre organisation. Nous utiliserons Okta comme exemple d'IdP (fournisseur d'identité) mais les instructions devraient être similaires pour d'autres fournisseurs (OneLogin, GSuite, Azure, etc.).

Si vous êtes un client existant de Vimeo Enterprise et que vous ne disposez pas de SCIM, veuillez contacter votre responsable de compte pour plus d'informations. Si vous n'êtes pas encore client de Vimeo Enterprise et que vous êtes intéressé par le SCIM, veuillez nous contacter. 

Sommaire de l'article :

• Pourquoi utiliser SCIM ?
• Conditions préalables
• Obtenir un Identificateur API de Vimeo
• Configuration de SCIM sur votre IdP
• Provisionnement des utilisateurs depuis l'IdP vers Vimeo
  • Dépannage : le traitement des tentatives de connexion SCIM a échoué
• Restrictions
• Attributs de support (mapping)

Pourquoi utiliser SCIM ?

Si vous ne connaissez pas le SCIM, voici quelques exemples de son utilité et de la manière dont votre IdP (fournisseur d'identité, tel que Okta, OneLogin, GSuite, etc.) peut interagir avec votre compte Vimeo :

• Activer les utilisateurs : lorsqu'un employé rejoint votre organisation, il lui sera automatiquement créé un compte Vimeo avec ses propres informations d'appartenance au groupe et un contenu personnalisé.

• Désactiver les utilisateurs : lorsqu'un employé quitte votre organisation, son compte sera automatiquement désactivé pour s'assurer qu'il n'aura pas accès à votre compte Vimeo et que vous ne paierez pas pour sa place.

• Mise à jour des attributs utilisateur : lorsqu'un employé change de nom ou d'adresse e-mail, son compte Vimeo respectif est immédiatement mis à jour. De même, lorsque vous réaffectez un employé à un autre service et que vous modifiez son appartenance à un groupe, cette dernière est immédiatement mise à jour sur le compte Vimeo, ce qui met à jour le contenu auquel il peut accéder sur Vimeo.

• Nouveaux groupes : les nouveaux groupes créés via Okta seront également créés dans Vimeo.

• Importer des utilisateurs : les nouveaux utilisateurs créés dans Vimeo peuvent être téléchargés dans l'onglet Import de l'application et transformés en nouveaux objets AppUser, pour être comparés aux utilisateurs Okta existants.

• Importer des groupes : les nouveaux groupes créés dans Vimeo peuvent être téléchargés dans l'onglet Import de l'application et transformés en nouveaux objets AppUser, pour être comparés aux groupes Okta existants.

• En général, si vous devez gérer des milliers de comptes, le SCIM est le moyen le plus pratique de le faire.

Conditions préalables

Afin d'utiliser le SCIM avec votre compte Vimeo : 

• Vous devez être abonné à Enterprise sur votre compte et avoir activé le SSO.
• Le SSO doit être configuré et activé du côté de l'IdP.
• L'IdP doit supporter le SCIM version 2 ; Vimeo ne supporte pas le SCIM version 1.

Obtenir un Identificateur API de Vimeo

Vous devrez obtenir un identificateur API de Vimeo pour commencer. Pour cela, vous devez vous connecter sur le compte du responsable car les membres de l'équipe ne peuvent pas accéder à l'API.

1. Ouvrez https://developer.vimeo.com
2. Sélectionnez Démarrer ou Nouvelle application.
3. Remplissez le formulaire, puis sélectionnez Create App.
   

   ⚠️Remarque : pour la question demandant si d'autres utilisateurs auront accès à votre application, sélectionnez Non.

4. Faites défiler l'écran jusqu'à la section Générer un identificateur d'accès.
5. Sélectionnez Authentifié (vous).
6. Sélectionnez Privé, puis cadres Scim
7. Cliquez sur Générer.
   
   
8. Copiez/enregistrez le nouvel identificateur généré quelque part, par exemple dans une application de prise de notes. Ne sautez pas cette étape ; vous en aurez besoin plus tard.
   
   

Configuration de SCIM sur votre IdP

⚠️Remarque : nous présentons ici Okta à titre d'exemple, mais les étapes pour les autres fournisseurs devraient être similaires.

1. Allez dans l'application SAML existante que vous utilisez pour Vimeo.
2. Dans l'onglet Général, modifiez les paramètres de l'application.
3. Basculez Provisionnement sur Aucun à SCIM.
   
   
4. Il devrait maintenant y avoir une zone ou un onglet Provisionnement dans l'application :
   
5. Allez dans l'onglet Provisionnement, puis dans Paramètres, puis Integration. Sélectionnez Modifier.
6. Saisissez l'URL de base de connexion au SCIM en utilisant le format d'URL suivant : https://api.vimeo.com/scim/v2/12345678, où 12345678 est l'identifiant Vimeo de l'utilisateur responsable de l'équipe ; vous le trouverez dans le coin supérieur gauche de la page Paramètres du compte Vimeo.
7. Dans le champ « Identifiant unique pour les utilisateurs », entrez le nom de l'utilisateur
8. Activez toutes les actions de provisionnement prises en charge qui sont répertoriées ici.
9. Dans le menu « Mode d'Authentification », sélectionnez Entête HTTP.
10. Pour « Autoriser », collez l'identificateur API généré par Vimeo.
11. Cliquez sur Enregistrer.
    
    
12. Ensuite, allez dans l'onglet Provisionnement -> Paramètres -> Vers l'Application
13. Activez « Créer des utilisateurs », « Mettre à jour les attributs des utilisateurs », « Désactiver les utilisateurs ».

    ⚠️Remarque : si vous utilisez un IdP différent tel qu'Azure, consultez la rubrique Attributs pris en charge ci-dessous.

14. Sélectionnez Sauvegarder.
    

Provisionnement des utilisateurs depuis l'IdP vers Vimeo

L'étape initiale pour commencer le provisionnement dans Okta est d'assigner des utilisateurs à l'application SAML. Si vous venez de créer une application SAML pour configurer les SSO et le SCIM, vous pouvez assigner des utilisateurs et ils seront provisionnés automatiquement.

Si vous avez déjà une application SAML avec des utilisateurs assignés, ils ne seront pas provisionnés une fois le provisionnement activé. Vous avez deux options dans Okta : 

• Vous pouvez désassigner et réassigner les utilisateurs, ou
• Vous pouvez contacter le support Okta et demander d'activer une fonctionnalité appelée « Provisionnement en dehors des synchronisations d'utilisateurs » qui ajouterait un bouton « Provisionner maintenant » à côté de chaque utilisateur qui n'est pas provisionné après l'activation du provisionnement.

Après avoir lancé le provisionnement, vous pouvez voir sur la page des paramètres de votre équipe que les collaborateurs ont été ajoutés à votre compte Vimeo.

Vous pouvez maintenant aussi créer des Groupes depuis votre IdP dans Vimeo si vous en avez besoin :

Dépannage : le traitement des tentatives de connexion SCIM a échoué

Il existe des cas où les utilisateurs ne peuvent pas être migrés via le SCIM, par exemple :

• Un utilisateur ayant une adresse e-mail qui existe déjà sur Vimeo et qui ne fait pas partie de l'équipe Enterprise
• Votre compte a atteint le plafond de nombre de places disponibles
• Erreurs de connexion

Dans ces cas, vous pouvez aller sur la page Paramètres de votre équipe et télécharger une liste des migrations échouées où vous pourrez voir les messages d'erreurs.

Dans la plupart des cas, pour les résoudre, il est préférable de contacter votre gestionnaire de compte : certaines erreurs peuvent être traitées en faisant migrer les utilisateurs de Vimeo vers votre compte Entreprise, d'autres en achetant des places supplémentaires.

Restrictions

Lorsque vous modifiez les informations d'un utilisateur dans votre IdP, veillez à ce que le nom d'utilisateur et l'adresse e-mail soient identiques.

Attributs de support (mapping)

Nous ne prenons pas en charge tous les attributs utilisateur prêts à l'emploi d'un SCIM. Par exemple, l'ensemble d'attributs par défaut d'Azure est plus important que celui d'Okta et devrait être réduit. 

Actuellement, Vimeo prend en charge les attributs d'utilisateur suivants :

• schémas (en lecture seule, requis par la spécification des SCIM)
• identification (en lecture seule, requise par la spécification des SCIM)
• nom d'utilisateur (variable, nécessite la même valeur pour l'e-mail)
• Nom (variable)
• name.formatted (same as givenName+familyName)
• name.givenName
• name.familyName
• displayName (same as givenName+familyName)
• Actif (variable)
• e-mails (seulement type=work et primary=true) (variable)
• profileUrl (en lecture seule)
• local (variable)
• groupes (en lecture seule, variable depuis le point de terminaison / Groupes)
• meta (en lecture seule)