Mettre à jour la configuration SSO SAML

Crée ou met à jour la configuration SSO SAML du workspace (réservé au plan Entreprise).

Requête exemple

{
  "domains": [
    "acme.com",
    "Acme.FR "
  ],
  "enabled": true,
  "idp_entity_id": "https://sts.windows.net/8a1c.../",
  "sso_login_url": "https://login.microsoftonline.com/8a1c.../saml2",
  "sso_logout_url": "https://login.microsoftonline.com/8a1c.../saml2",
  "idp_certificate": "-----BEGIN CERTIFICATE-----\nMIIDdzCCAl+gAwIBAgIE…\n-----END CERTIFICATE-----",
  "idp_metadata_url": "https://login.microsoftonline.com/8a1c.../federationmetadata.xml"
}

Réponse exemple

{
  "ok": true,
  "enabled": true,
  "configured": true,
  "updated_at": "2026-06-05T11:42:18.000Z"
}

PATCH/v1/sso/configMet à jour partiellement la configuration SSO SAML du workspace, ou la crée si elle n'existe pas.

Cet endpoint applique une mise à jour partielle (upsert) de la configuration SSO SAML (coffrify_sso_configs). Seuls les champs présents dans le corps sont modifiés ; les autres restent inchangés. Si aucune configuration n'existe encore pour le workspace, elle est créée. La fonctionnalité est réservée au plan Entreprise : tout autre plan reçoit une erreur 402.

Authentification

Requiert une clé API valide portant le scope workspace:manage. À défaut, l'appel renvoie 403 scope_missing. L'endpoint applique le contrôle d'idempotence standard : fournissez un en-tête Idempotency-Key pour pouvoir rejouer la requête sans risque de double écriture.

Corps de la requête

Au moins un champ valide doit être fourni, sinon l'appel renvoie 400 validation_error (« Aucun champ valide. »). Les champs string acceptent aussi null pour effacer la valeur.

Champ	Type	Requis	Description
enabled	boolean	Non	Active ou désactive le SSO SAML pour le workspace.
idp_entity_id	string \| null	Non	Entity ID du fournisseur d'identité.
idp_metadata_url	string \| null	Non	URL des métadonnées de l'IdP.
sso_login_url	string \| null	Non	URL de connexion (SSO) de l'IdP.
sso_logout_url	string \| null	Non	URL de déconnexion (SLO) de l'IdP.
idp_certificate	string \| null	Non	Certificat de signature de l'IdP au format PEM. Une valeur non vide doit contenir `BEGIN CERTIFICATE`, sinon `400 validation_error`.
domains	string[]	Non	Liste de domaines email. Chaque entrée est nettoyée (trim, minuscules) et seules les chaînes contenant un point (`.`) sont conservées.

Réponse

En cas de succès, la réponse confirme l'écriture avec un état synthétique. Les champs clés :

Champ	Type	Description
ok	boolean	Toujours `true` en cas de succès.
enabled	boolean	État d'activation résultant.
configured	boolean	Vrai si `idp_entity_id`, `idp_certificate` et `sso_login_url` sont tous présents après écriture.
updated_at	string	Horodatage de la mise à jour appliquée.

Erreurs

Code	Quand	Résolution
400 validation_error	Aucun champ valide fourni, ou `idp_certificate` non vide qui n'est pas un PEM.	Envoyez au moins un champ valide ; pour le certificat, transmettez un PEM `-----BEGIN CERTIFICATE-----`.
401 missing_api_key	En-tête Authorization absent.	Ajoutez `Authorization: Bearer cof_live_...`.
401 invalid_api_key	Clé API invalide, révoquée ou expirée.	Régénérez une clé valide.
402 forbidden	Le plan du workspace n'est pas Entreprise.	Contactez les ventes pour activer le SSO SAML.
403 scope_missing	La clé ne porte pas le scope `workspace:manage`.	Émettez une clé incluant `workspace:manage`.
429 rate_limited	Quota de requêtes du workspace dépassé.	Respectez l'en-tête `Retry-After` puis réessayez.
500 internal_error	Échec d'écriture en base ou erreur serveur.	Réessayez ; conservez le `request_id` pour le support.

Voir aussi

GET /v1/sso/config — Lire la configuration SSO et récupérer les coordonnées SP.
GET /v1/workspace — Vérifier le plan du workspace (Entreprise requis).
GET /v1/members — Membres dont l'accès est gouverné par le SSO.