SCIM の統合を使用して IdP からユーザーをプロビジョニングする

SCIMの統合を設定して、アイデンティティプロバイダー (IdP) から Absolute アカウントにユーザーをプロビジョニングすることができます。

以下のいずれかの SAML 2.0 アイデンティティプロバイダー ID 情報を作成、維持、管理し、セキュリティトークンを使用してインターネット上のユーザーを認証するオンラインサービスまたは Web サイト。 (IdP) を使用してシングルサインオンを有効にしている場合、SCIM の統合を有効にできます。

Absolute の SCIM の統合ソリューションでは、 SCIM 2.0 プロトコルのみをサポートします。
Absolute では、上記の IdP を使用する SCIM の統合をテストし、検証しています。別の IdP を使用している場合、SAML2.0 プロトコルをサポートする任意の IdP と SCIM を統合できるようにする必要があります。

IdP が使用するエンドポイントまたは HTTP メソッド (例えば HEAD) が SCIM 2.0 プロトコルで指定されていない場合、SCIM の統合は動作しないことに注意してください。

System for Cross-domain Identity Management (SCIM) 仕様とは、クラウド環境における ID 管理を合理化するオープンスタンダードであり、安全かつ効率的な方法で、ユーザーをドメイン間で自動でプロビジョニングできるようになります。

Absolute の SCIM の統合機能により、IdP でのユーザー更新情報を、自動的に Absolute アカウントに同期することができます。SCIM の統合が有効な場合、以下のユーザー情報が IdP から同期されます。

  • 氏名
  • メールアドレス
  • ユーザーステータス
  • IdP グループ

SCIM の統合をセットアップするには、以下の重要なタスクを実行する必要があります。

  1. API トークンを作成して統合を認証する
  2. Secure Endpoint Console で SCIM の統合を設定する
  3. 以下のアクションを実行して IdP で統合をセットアップする
    1. Absolute を新しい SCIM アプリケーションとして追加して設定する
    2. IdP で SCIM の統合を有効化する
    3. IdP グループを Absolute SCIM アプリケーションに割り当てる
  4. ユーザー情報が正常に同期されたことを検証する

SCIM の統合をセットアップする前に、以下のセクションを確認することが強く推奨されます。

すべてのユーザーに、ユーザー役割と、そのユーザーがアクセスできるデバイスのグループを割り当てる必要があります。SCIM の統合を有効にした場合、このプロセスを自動化するため、セットアップ中に IdP グループをユーザー役割と静的グループにマッピングすることができます。

設定可能なマッピングには次の 2 つのタイプがあります。

システム管理者のユーザー役割は、マッピングプロセスから除外されます。この役割を同期中のユーザーに割り当てるには、「ユーザー管理」に移動します。もっと見る

マッピング

詳細

カスタムマッピング

1 つ以上の IdP グループを単一の役割および静的グループにマッピングする

複数のカスタムマッピングを追加できますが、1 つの IdP グループに含めることができるのは単一のカスタムマッピングのみです。

例:

マッピング

IdP グループ

役割

デバイスグループ
1

グループ A

管理者

すべてのアクティブなデバイス
2

グループ C

パワーユーザー

北部地区のデバイス
3

グループ B

グループ E

ゲストユーザー

南部地区のデバイス
4

グループ D

グループ F

 パワーユーザー 南部地区のデバイス

デフォルトマッピング

以下のいずれか 1 つを行う設定:

  • カスタムマッピングが存在しない場合、ユーザー役割と静的グループを新しいユーザー全員に割り当てる

    -または-

  • ユーザー役割と静的グループを、カスタムマッピングに含まれるどの IdP グループにも属さない新しいユーザーに割り当てる

デフォルトでは、このマッピングはゲストユーザー役割およびすべてのアクティブなデバイスグループに設定されますが、これらの設定は変更できます

システム管理者を除き、「ユーザー管理」で行ったユーザーの役割またはデバイスグループへの変更は、次回の IdP からの同期時に上書きされます。また、ユーザーが複数のカスタムマッピングされた IdP グループに属す場合、それぞれの役割とデバイスグループは、直近の同期時に送信された IdP グループのマッピングによって決定されることにも注意してください。

統合を有効にした場合、既存の Absolute ユーザーに何が起こるかを理解することが重要です。

  • カスタムマッピングされた IdP グループに属すユーザーの場合、カスタムマッピングが適用されるため、その IdP グループにマッピングされたユーザー役割とデバイスグループに応じて、ユーザーの権限および割り当て済みのデバイスが変更される場合があります。
  • カスタムマッピングされた IdP グループに属さないユーザーの場合、またはカスタムマッピングが存在しない場合、割り当てられたユーザー役割およびデバイスグループは変更されません。その後、IdP でそのユーザーのグループを更新した場合、デフォルトマッピングが適用されます。
  • システム管理者は、マッピングプロセスから除外されます。ユーザーがシステム管理者にアップグレードされると、それまでそのユーザーに適用されていたマッピングは無視されます。もっと見る

データの同期は、IdP でユーザーまたはグループが更新されたときに自動的にトリガーされます。

同期頻度と同期ごとのタイミングは、お客様の IdP によって制御されます。ユーザーまたはグループの操作が発生したときにほぼリアルタイムで同期を行うことも、スケジュールを設定することもできます。詳細については、IdP のマニュアルを参照してください。

最後の同期日時は、SCIM の統合の下にある認証設定ページに表示されます。

Secure Endpoint Console でカスタムマッピングを編集しても、同期はトリガーされません。マッピングへの変更を適用するには、IdP にログインし、カスタムマッピングされた IdP グループを更新する必要があります。これにより同期がトリガーされます。

直近の同期に含まれていたユーザーアクションに応じて、以下のイベントがイベント履歴に記録される場合があります。

  • ユーザーが作成されました
  • ユーザーが更新されました
  • ユーザーが削除されました

Absolute の SCIM の統合機能は、IdP で実施された以下のアクションを自動的に同期できます。

パスワードに関するアクションは同期されません。

IdP でのアクション

Absolute でのアクション
ユーザーのアクション

ユーザーアクションを同期するには、お客様の IdP で、ユーザーまたはその IdP グループを Absolute SCIM アプリケーションに割り当てる必要があります。お使いの IdP によっては、サブグループに属するユーザーが同期されない場合があることに注意してください。

ユーザーの新規作成
  • ユーザー管理のユーザーページにユーザーが追加された
  • 招待メールがユーザーに送信された
  • ユーザーが作成されました」イベントがイベント履歴に記録された

新しいユーザーがカスタムマッピングされた IdP グループに属す場合、カスタムマッピングのユーザー役割とデバイスグループがそのユーザーに割り当てられます。そうでない場合、デフォルトマッピングの役割とデバイスグループが割り当てられます。

ユーザーの言語、場所、タイムゾーン、セッションタイムアウト設定は IdP から同期されませんが、Absolute でユーザープロフィールがされたときのデフォルト設定が各ユーザーに適用されます。もっと見る

ユーザーの名前の更新
  • 「ユーザー管理」でユーザーの名前が更新された
  • ユーザーが更新されました」イベントがイベント履歴に記録された

ユーザーのアクティブ化/有効化
  • ユーザーステータスがアクティブに設定された
  • ユーザーが更新されました」イベントがイベント履歴に記録された
ユーザーの非アクティブ化/無効化/論理削除
  • ユーザーステータスが一時停止に設定された
  • ユーザーが更新されました」イベントがイベント履歴に記録された

ユーザーの削除
  • 「ユーザー管理」からユーザーアカウントが削除された
  • ユーザーが削除されました」イベントがイベント履歴に記録された
グループアクション

グループアクションを同期するには、お客様の IdP で、IdP グループを Absolute SCIM アプリケーションに割り当てる必要があります。
同期中の IdP グループからの ユーザーの削除 お客様の IdP で Absolute SCIM アプリケーションに割り当てられている IdP グループ。これにより、ユーザー情報が IdP から Absolute アカウントに同期できるようになります。SCIM の統合のみに適用されます。
ある IdP グループから別のグループへのユーザーの移動

IdP グループの削除、または Absolute SCIM アプリケーションからの割り当て解除

削除された IdP グループは、OneLogin または PingOne から同期されません。

IdP グループ名の更新

このアクションは、OneLogin または PingOne から同期されません。
  • カスタムマッピング内のグループの名前 (該当する場合) が更新されます。

SCIM の統合を有効にすると、以下が実行されます。

  • 新しいユーザーが IdP を介して追加される
  • すべてのユーザーについて、以下のユーザー情報が IdP のみで管理されます。
    • 氏名
    • ユーザーステータス
  • 以下のタスクがユーザー管理利用できなくなります
    • ユーザーを招待する
    • ユーザー名を編集する
    • ユーザーのステータスを変更する (ユーザーを一時停止するなど)
  • システム管理者を除くすべてのユーザーについて、そのデバイスグループまたは役割に対して行った変更は、次回の同期時に上書きされます。代わりに、以下の1つを実行します。
    • IdP にログインし、希望するデバイスグループと役割にマッピングされた IdP グループにユーザーを移動する
    • ユーザーの IdP グループ向けにカスタムマッピングを削除する

      特定のユーザーの IdP グループ向けカスタムマッピングが存在しないため、デフォルトマッピングが新規ユーザーに適用されました。現在、そのユーザーはゲストユーザーです。このユーザーにパワーユーザーの役割を割り当てるため、ユーザーの IdP グループをパワーユーザー役割と希望のデバイスグループにマッピングする新しいカスタムマッピングを追加します。

ユーザーは Secure Endpoint Console で直接削除できますが、そのユーザーを IdP でも削除することができなかった場合、次回 IdP から同期した際にそのユーザーが再び追加されます。

SCIM の統合を有効にすると、システム管理者は「ユーザー管理」と IdP の両方を使用して管理されます。

ユーザー管理のタスク

ユーザー管理では以下のタスクが実施されます。

  • システム管理者役割を同期中のユーザーに割り当てる

    ユーザーをシステム管理者にアップグレードすると、通常はそのユーザーに適用されていたマッピングは無視されます。

  • システム管理者を権限の少ない役割にダウングレードする

    新しい役割がユーザーに割り当てられた後、そのユーザーはシステム管理者ではなくなるため、該当するマッピングが適用されることに注意してください。その結果、役割の変更が次回の同期時に上書きされる場合があります。

  • システム管理者を削除する

    ユーザーが引き続き IdP に存在する場合、次回の同期時に再び追加されますが、それぞれのマッピングされた IdP グループに該当する役割およびデバイスグループが割り当てられます。

IdP のタスク

IdP では以下のタスクが実施されます。

  • 新しいユーザーを追加して「ユーザー管理」でシステム管理者役割を割り当てる
  • システム管理者を無効化または非アクティブ化する
  • システム管理者を有効化またはアクティブ化する
  • システム管理者の名前を更新する