Révoquer un token SCIM

Révoque définitivement un token de provisioning SCIM du workspace identifié par son id.

Réponse exemple

{
  "id": "scim_tok_7a1f9c2e4b6d",
  "object": "scim_token",
  "revoked": true,
  "token_prefix": "cof_scim_9Xk2"
}

DELETE/v1/scim/tokens/{id}Révoque un token de provisioning SCIM du workspace courant.

Cet endpoint révoque un token SCIM utilisé pour le provisioning automatisé des utilisateurs (SCIM 2.0) via votre fournisseur d'identité (IdP). La révocation est immédiate : le token concerné ne pourra plus authentifier aucune requête SCIM. L'opération est idempotente côté métier au sens où elle ne cible que les tokens encore actifs : le handler filtre sur revoked_at IS NULL, horodate revoked_at à l'instant courant et enregistre l'auteur de la révocation dans revoked_by. Le token est identifié par le segment {id} de l'URL (dernier segment du chemin).

La révocation est restreinte au workspace de la clé API appelante : la requête est filtrée à la fois sur workspace_id (déduit du contexte d'authentification) et sur id. Un token appartenant à un autre workspace est donc traité comme introuvable.

Authentification

Requiert une clé API valide possédant le scope workspace:manage. Une clé sans ce scope reçoit une erreur 403 scope_missing. Aucune autre permission n'est nécessaire.

Paramètres de chemin

Champ	Type	Requis	Description
id	string	oui	Identifiant du token SCIM à révoquer, transmis dans le chemin de l'URL (`/v1/scim/tokens/{id}`).

Cette méthode DELETE n'accepte pas de corps de requête : le wrapper ne lit pas le body pour les méthodes GET, HEAD et DELETE.

Réponse

Réponse 200 au format JSON. Les champs renvoyés sont : id (l'identifiant du token révoqué), token_prefix (le préfixe public du token, utile pour le retrouver dans vos journaux sans exposer le secret), object toujours égal à "scim_token", et revoked toujours égal à true. Les en-têtes incluent X-Request-Id, X-Coffrify-Api-Version ainsi que les en-têtes de quota X-RateLimit-*.

Champ	Type	Description
id	string	Identifiant du token SCIM révoqué (repris depuis l'URL).
token_prefix	string	Préfixe public du token, pour identification dans les journaux.
object	string	Toujours `"scim_token"`.
revoked	boolean	Toujours `true` en cas de succès.

Erreurs

Code	Quand	Résolution
401 missing_api_key	En-tête Authorization absent.	Ajoutez `Authorization: Bearer cof_live_...`.
401 invalid_api_key	Clé API absente, malformée, introuvable.	Vérifiez le format et la validité de la clé.
401 revoked_api_key / expired_api_key	Clé révoquée, inactive ou expirée.	Régénérez une clé API valide.
403 scope_missing	La clé n'a pas le scope `workspace:manage`.	Émettez une clé incluant `workspace:manage`.
403 ip_not_allowed	IP appelante hors de la liste autorisée de la clé.	Appelez depuis une IP autorisée ou ajustez l'allowlist.
404 not_found	Token introuvable, hors du workspace, ou déjà révoqué.	Vérifiez l'`id` ; un token déjà révoqué renvoie aussi 404.
429 rate_limited	Quota par minute du workspace dépassé.	Respectez `Retry-After` puis réessayez.
500 internal_error	Erreur côté base de données.	Réessayez ; si persistant, contactez le support avec le `request_id`.

Voir aussi

GET /v1/scim/tokens — lister les tokens SCIM actifs du workspace.
POST /v1/scim/tokens — créer un nouveau token de provisioning SCIM.
GET /v1/audit/events — retrouver l'événement d'audit de la révocation.