Inviter votre équipe
Obexal fonctionne sur invitation : l'auto-inscription est coupée par défaut, et accepter une invitation est ce qui active le compte.
Les nouveaux membres rejoignent votre organisation sur invitation. L'auto-inscription est désactivée par défaut : l'annuaire ne contient que des comptes que vous avez explicitement invités ou provisionnés.
Un annuaire sur invitation
D'origine, le parcours public « créer un compte » est coupé pour votre organisation : l'endpoint d'inscription refuse, et la page de connexion hébergée masque le lien. Un compte naît quand son titulaire accepte une invitation nominative. Le lien d'invitation vaut aussi vérification d'e-mail : les comptes activés démarrent toujours avec une adresse vérifiée.
Les invitations sont à usage unique, liées à une adresse e-mail, et expirent après 7 jours par défaut. L'auto-inscription peut être réactivée par organisation dans les réglages de la console si votre cas d'usage l'exige. Pour un provisionnement automatisé depuis un SIRH ou un autre IdP, voir SCIM entrant.
Envoyer une invitation
Dans la console d'administration, ouvrez Invitations :
- Saisissez l'adresse e-mail de l'invité. L'invitation est nominative : seule cette adresse exacte peut l'activer.
- Pré-remplissez si vous le souhaitez le prénom et le nom : ils amorcent le profil de l'invité à l'activation.
- Choisissez un rôle : un rôle système (
owner,admin,member) ou l'un de vos rôles personnalisés. - Envoyez. L'invité reçoit un e-mail contenant un lien d'activation à usage unique.
La même opération par l'API (session ou jeton d'API admin) :
curl -sS -X POST https://accounts.obexal.com/v1/admin/invitations \
-H "Authorization: Bearer $OBEXAL_API_TOKEN" \
-H 'Content-Type: application/json' \
-d '{"email":"alice@example.eu","role":"member","givenName":"Alice","familyName":"Martin"}'
# 202 -> {"status":"ok"}Une seule invitation en attente peut exister par adresse : réinviter le même e-mail pendant qu'une invitation est en attente renvoie 409.
Ce que voit l'invité
L'e-mail pointe vers https://accounts.obexal.com/accept-invite?token=... (votre domaine personnalisé remplace le domaine par défaut). Sur cette page, l'invité :
- Pose ou complète, s'il le souhaite, son prénom et son nom ; sa saisie prime sur votre pré-remplissage.
- Choisit son mot de passe (12 caractères minimum avec la politique par défaut).
- Est connecté automatiquement et arrive sur le portail « My Apps » sur
/dashboard, qui affiche les applications qui lui sont assignées.
Aucun compte préalable ni étape de vérification séparée : le lien est en lui-même la preuve d'identité, et l'adresse est marquée vérifiée. Les autres champs du profil (poste, département, langue) restent gérés par un admin ou par SCIM : voir Utilisateurs et profils.
Le rôle est revérifié à l'acceptation : si l'invitant a perdu entre-temps l'autorité de l'accorder, l'invité rejoint avec le rôle member.
Les rôles à l'invitation
- Un
memberne peut pas envoyer d'invitations : gérer les membres exige la permission correspondante. - Vous ne pouvez attribuer qu'un rôle dont les permissions sont un sous-ensemble des vôtres (anti-escalade) ; seul un
ownerpeut inviter un autreowner. - Les rôles personnalisés s'attribuent exactement comme les rôles système.
Détails : Rôles et RBAC.
Révoquer ou renvoyer une invitation
La console liste les invitations avec leur statut (pending, accepted, revoked) et leur date d'expiration ; l'équivalent API est GET /v1/admin/invitations.
- Révoquer : une invitation en attente peut être annulée à tout moment ; le lien cesse immédiatement de fonctionner.
curl -sS -X DELETE https://accounts.obexal.com/v1/admin/invitations/<id> \
-H "Authorization: Bearer $OBEXAL_API_TOKEN"- Renvoyer : il n'existe pas d'action de renvoi séparée. Révoquez l'invitation en attente, puis invitez de nouveau la même adresse : un nouveau lien est généré.
- Expirée : invitez simplement l'adresse de nouveau.
Prochaines étapes
- Les invitations en détail : API, statuts, expiration, événements d'audit.
- Groupes et accès aux applications : décidez quelles applications vos nouveaux membres voient sur leur portail.