SCIM の統合をセットアップして管理する

SCIM の統合をセットアップする前に、以下の要件を満たしていることを確認してください。

• サポートされる IdP のいずれかを使用してシングルサインオンを有効にしていること
• ユーザー役割に認証と SCIM の統合の両方の管理権限が付与されていること

開始する前に、以下のタスクを完了しておくことを推奨します。

• ユーザーをこれから作成するカスタム役割にマッピングする予定である場合、今すぐカスタム役割を作成します。
• ユーザーをこれから作成する静的グループにマッピングする予定である場合、今すぐ静的デバイスグループを作成します。

IdP からの API コールを認証するには、API トークンを生成する必要があります。

SCIM API トークンは、SCIM の統合の認証専用です。Absolute API を使用したリクエストの認証には使用できません。

API  トークンを生成するには:

1. 認証、SCIM の統合、および API 資格情報を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。この権限を持つデフォルト役割は、システム管理者役割のみです。
2. ナビゲーションバーで 設定 > API 管理をクリックします。
3. API トークンを生成するステップを実施します。

   対称暗号化と非対称暗号化のどちらもサポートされます。自分のユーザー役割に SCIM の統合の実行権限が付与されていることを確認してください。その他の権限は必須ではありません。

   このトークンがまもなく期限切れになると E メールが送信されます。統合が中断されないようにするため、期限切れになる前にトークンの有効期限を更新してください。

4. トークン ID と秘密鍵を含むファイルの場所をメモしておきます。この情報は後のタスクで必要になります。
5. 次のステップに進みます。

IdP のグループ名を Absolute の役割と静的グループにマッピングすることで、Secure Endpoint Console で統合をセットアップします。

Secure Endpoint Console で SCIM の統合をセットアップするには:

1. 認証および SCIM の統合を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。この権限を持つデフォルト役割は、システム管理者役割のみです。
2. ナビゲーションバーで 設定 > 認証設定をクリックします。
3. シングルサインオンエリアで、シングルサインオンが有効であることを確認します。
4. SCIM の統合エリアで、SCIM のセットアップ...をクリックして SCIM の統合セットアップのダイアログを開きます。
5. SCIM connector base URL の下にあるコピーをクリックし、URL をテキストファイルに貼り付けます。先ほどのタスクで作成した、API トークン情報が含まれるファイルに貼り付けることを推奨します。

   この情報は、次のセクションで IdP を設定するときに必要になります。

   この統合用の API トークンをまだ生成していない場合、アクセストークンの下にあるトークンの作成と管理をクリックします。

6. ユーザーマッピングで、以下を実行してください。
   1. カスタムマッピングを追加するには:
      1. カスタムマッピングの下にある追加をクリックします。
      2. IdP グループフィールドをクリックし、Absolute の特定の役割にマッピングしたい IdP の各グループ名を入力します。各グループ名の後に Enter を押下し、名前が IdP のグループ名と完全に一致することを確認します。最大 1000 個のグループ名を追加できます (最大 5000 文字)。
      3. 役割フィールドをクリックし、IdP グループに割り当てる役割を選択します。システム管理者を除くすべての既存の役割を選択できます。カスタム役割を作成する必要がある場合、「ユーザー管理」に移動します。

         システム管理者の役割は、マッピングプロセスから除外されるため、選択できません。この役割をユーザーに割り当てるには、「ユーザー管理」に移動します。

      4. デバイスグループフィールドをクリックし、IdP グループに割り当てる Absolute 静的グループを選択します。アカウント内のすべてのデバイスへのアクセス権を付与するには、すべてのアクティブなデバイスを選択します。

         スマートグループを選択することはできません。

   2. カスタムマッピングを追加するには、追加をクリックしてステップ 6a を繰り返します。
   3. カスタムマッピングを削除するには、その アイコンをクリックします。
   4. デフォルトマッピングを更新するには:
      1. 役割フィールドをクリックし、カスタムマッピングされた IdP グループに属さない、新規ユーザーに割り当てる役割を選択します。デフォルトでは、このフィールドはゲストユーザーに設定されます。システム管理者を除くすべての既存の役割を選択できます。カスタム役割を作成する必要がある場合、「ユーザー管理」に移動します。
      2. デバイスグループフィールドをクリックし、静的グループを選択します。デフォルトでは、このフィールドはすべてのアクティブなデバイスに設定されます。

         スマートグループを選択することはできません。

7. 保存をクリックします。SCIM の統合のセットアップダイアログが閉じ、Absolute で SCIM  の統合が有効になります。
8. 次のステップに進みます。

IdP で SCIM の統合をセットアップして有効化するため、API トークン情報と Absolute SCIM connector base URL を設定に追加します。

IdP で SCIM の統合をセットアップするには:

1. SCIM の統合をセットアップする権限を持つユーザーとして、お客様のアイデンティティプロバイダーにログインします。

2. Absolute を新しい SCIM アプリケーションとして追加するための手順を実行します。詳細な手順については、IdP  のマニュアルを参照してください。

   このプロセスの間、以下の点を確認してください。

   • SCIM バージョン 2.0 を選択します。
   • 生成された SCIM API トークンのトークン ID を該当するフィールドに入力します。IdP によっては、秘密鍵の入力も必要になる場合があります。
   • ステップ 2 でコピーした SCIM connector base URL を、SCIM エンドポイント URL として入力します。

   • ユーザー属性を以下のようにマッピングします。

     IdP 属性	Absolute 属性
     氏名	名
     姓	姓
     ユーザー名	E メール
     E メール	E メール

     Microsoft Entra ID を設定する場合、「マッピング」セクションで以下を確実に実行してください。

     • グループオブジェクトの objectId マッピングを削除します。
     • 以下を除き、ユーザーオブジェクトのすべてのマッピングを削除します。
       • userPrincipalName
       • Switch([IsSoftDeleted], , "False", "True", "True", "False")
       • givenName
       • surname
   • 該当する IdP グループを Absolute SCIM アプリケーションに割り当てます。

     少なくともすべてのカスタムマッピングされた IdP グループを割り当てますが、他の IdP グループと個別のユーザーを割り当てることもできます。デフォルトマッピングは、カスタムマッピングの対象ではないユーザーに適用されます。

3. 次のステップに進みます。

Secure Endpoint Console では、ユーザーが正常に同期されていることを確認する必要があります。

統合を確認するには:

1. 最初の同期が行われるまで待ちます。最初の同期が完了したことを確認するには:
   1. ナビゲーションバーで 設定 > 認証設定をクリックします。
   2. SCIM の統合セクションで、メッセージが最初の同期を待機から最終同期日: <date and time> に変わったか確認します。

   同期が行われない場合、IdP のプロビジョニングログファイルでイベントを確認します。詳細については、IdP のマニュアルを参照してください。または、統合のトラブルシューティングを行います。

2. ナビゲーションバーで > ユーザー管理 > ユーザーをクリックします。
3. ユーザーのリストを確認し、すべての同期中のユーザーに適切な役割とデバイスグループが割り当てられていることを確認します。問題があれば、統合のカスタムマッピングを更新したり、ユーザーを別の IdP グループに移動させる必要があるかもしれません。
4. 最初の同期中、以下のユーザー設定は自動的に新しいユーザーに適用されます:

   • 言語が英語 (米国) に設定される

   • タイムゾーンが (UTC-12:00) Etc/GMT+12 に設定される

   既存のユーザーのユーザー設定は更新されません。

   新しいユーザーが Secure Endpoint Console に初めてログインする場合、そのユーザー設定は、ユーザーのウェブブラウザーで設定された言語、国、タイムゾーンに合わせて自動的に設定されます。ユーザーはいつでも、自分のユーザープロフィールのユーザー設定を更新できます。

SCIM の統合で設定したマッピングを編集するには:

1. 認証および SCIM の統合を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。この権限を持つデフォルト役割は、システム管理者役割のみです。

   ユーザー役割に認証と SCIM の統合の閲覧権限が付与されている場合、SCIM の統合設定を表示することはできますが、編集はできません。

2. ナビゲーションバーで 設定 > 認証設定をクリックします。
3. SCIM の統合エリアで、設定をクリックして SCIM の統合セットアップのダイアログを開きます。
4. 必要に応じてカスタムマッピングとデフォルトマッピングを更新します。

   カスタムマッピングを削除しても、カスタムマッピングによって各ユーザーに割り当てられたユーザー役割とデバイスグループは保持されます。

5. 保存をクリックします。

変更は次の同期時に反映されます。

SCIM の統合はいつでも無効にできますが、以下の点に注意してください。

• IdP からのユーザー情報の自動同期は停止します。
• SCIM の統合によって同期中の各ユーザーに割り当てられた役割とデバイスグループは、保持されます。ユーザーの役割またはデバイスグループを変更するには、ユーザープロフィールを編集します。
• 新規ユーザーの招待、ユーザーとそのステータスの更新、およびユーザーの削除を行うには、ユーザー管理に移動します。

SCIM の統合を無効化するには:

1. 認証および SCIM の統合を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。この権限を持つデフォルト役割は、システム管理者役割のみです。
2. ナビゲーションバーで 設定 > 認証設定をクリックします。
3. シングルサインオンエリアで、シングルサインオンが有効であることを確認します。
4. SCIM の統合エリアで、SCIM の無効化をクリックします。
5. 確認メッセージで OK をクリックします。

   認証設定ページで、SCIM の統合の下にあるステータスインジケーターがオフを示します。

Secure Endpoint Console で SCIM の統合が設定済みで、統合が無効化されている場合、それを有効にすることができます。

コンソールで SCIM の統合を再度有効化するには:

1. 認証および SCIM の統合を管理する権限を持つユーザーとして、Secure Endpoint Console へログインします。この権限を持つデフォルト役割は、システム管理者役割のみです。
2. ナビゲーションバーで 設定 > 認証設定をクリックします。
3. SCIM の統合エリアで、SCIM の有効化をクリックします。
4. 確認メッセージで OK をクリックします。

   認証設定ページで、SCIM の統合の下にあるステータスインジケーターがオンを示します。