SCIM
Ein RFC-7644-Subset wird unterstützt:
GET/POST /scim/v2/UsersGET/DELETE /scim/v2/Users/:idGET/POST /scim/v2/GroupsPATCH /scim/v2/Groups/:id(add/remove members, replace displayName)
Token erstellen
/app/security → SCIM-Tokens → Erstellen. Der Plaintext (scim_*) wird einmal gezeigt.
Group → role mapping
/app/security → SCIM group → role. Wenn der IdP einen Nutzer in eine Gruppe mit diesem displayName aufnimmt, erhält er die angegebene Rolle. Beim Schnitt von Gruppen gewinnt die höchste (owner > admin > developer > viewer).
SCIM-managed Memberships
Ein über SCIM hinzugefügter Nutzer hat scim_managed=TRUE. Das Cabinet lässt sein Löschen nicht zu — sonst re-provisioniert der IdP beim nächsten Sync. Löschen nur über SCIM (DELETE) oder durch Revoke des Tokens.