SCIM ディレクトリの統合

  • EF
  • CW
 Prev Next

SCIMとは?

SCIM ( System for Cross-domain Identity Management) は、さまざまなシステム間でのユーザー ID の管理をより簡単かつ効率的にするように設計されたプロトコルです。これは、ユーザーの追加と削除のプロセスを自動化するのに役立つため、複数のクラウドベースのアプリケーションを使用している場合に特に便利です。

SCIM の仕組み

SCIM には、主に 2 つの役割があります。

  • クライアント - これは通常、コア ID データを管理する ID プロバイダーまたは Microsoft Entra ID や Okta などの ID アクセス管理システムです。

  • サービス プロバイダー - Kandjiなどのサービスとしてのソフトウェア (SaaS) アプリケーションで、ID データを使用してユーザーのアクセスと権限を管理します。

SCIM は、プロビジョニング、同期、プロビジョニング解除など、いくつかの操作をサポートします。この一方向同期により、 Kandjiでユーザーアカウントを自動的に作成し、 MDM とIdPの間でユーザー属性を最新の状態に保ち、不要になったときにユーザーアカウントを自動的に削除または無効にすることができます。

Kandjiでの SCIM の設定

ID プロバイダー (IdP) と Kandjiの間の SCIM 統合を設定するには、次のことを行う必要があります。

  • Kandjiで新しいSCIMディレクトリ統合を作成する

  • IdP で使用する SCIM API URL と API トークンを Kandji から取得します。

  • IdP にアクセスして、アプリ統合を作成し、SCIM 属性をマッピングし、目的のユーザーグループをプッシュします。

新しいSCIMディレクトリ統合の作成

  1. 左側のナビゲーションバーの [統合] に移動します。

  2. [統合] ページの右上にある [統合の検出 ] をクリックします。 

  3. SCIM プロトコル タイルで、[追加と構成] をクリックします。 

  4. [ 開始] をクリックします。 qikoScDAkueWToPti4z0Hy1JCWra5rUxbQ

  5. SCIM 統合の一意の名前を入力します。

  6. [トークンの生成] をクリックします。SCIMユーザーディレクトリ統合では、認証方法としてベアラートークンを持つHTTP認証ヘッダーを使用します。 z4S8DtfEeWwMYzKioL4OCbc_TVmdk9r-gA

  7. [トークンのコピー] をクリックします。

  8. トークンをコピーしたことを確認し、トークンの詳細を再度表示する場合は、トークンを変更する必要があることを認識してください。

  9. [完了] をクリックします。 [統合] ページに戻ります。 X_t81brzyBNcsgrI-IQnIiDpFR5EvhgSZw

SCIM API URL の取得

SCIM API URL は https://subdomain.api の形式になります。.io/api/v1/scim

  1. 作成した SCIM ディレクトリ統合の 省略記号 をクリックします。

  2. [ 詳細の表示] を選択します。

  3. SCIM API URL をコピーします。ID プロバイダーはこれを要求します。

  4. [閉じる] をクリックします。 Veib5GkQyIKAIM7AB6hE9fTW5z-NS2eDqQ

SCIM スキーマとサポートされている属性

Kandji は、次の SCIM 属性をサポートしています。IdPでSCIMアプリケーションをマッピングするときは、これらの属性を参照してください。 

Kandji は、以下のリストにない属性は使用しません。送信される属性を制限するには、IdP の SCIM アプリで構成された属性を変更してください。

ユーザー属性

属性

形容

必須

ユーザー名

サービスプロバイダーへの認証に使用されるユーザーの一意の識別子

はい

name.formatted

ユーザーのフルネーム (例: "John Doe")。この属性または displayName 属性は必須です

いいえ

表示名

ユーザーのフルネーム (例: "John Doe")。この属性または name.formatted 属性は必須です

はい

タイトル

ユーザーの肩書き ("副社長" など)。

いいえ

能動

ID プロバイダー内のユーザーのステータス。この属性は、ID プロバイダによって自動的に追加されます。

はい

電子メール.value

メールのサブ属性としてのユーザーのメールアドレス。 Kandji には、リスト内の最初のメールのみが保存されます。

はい

部門の名前を識別します。

いいえ

グループ属性

属性

形容

必須

表示名

グループの名前。

はい

メンバーズ

グループのメンバーのリスト。

はい

SCIM を使用してディレクトリからユーザーを同期する場合、SCIM アプリは新しい情報を自動的に Kandjiに送信するため、ネイティブの Entra ID または Google Workspace ディレクトリ統合を使用する場合に表示される [今すぐ同期] ボタンは必要ありません。各クラウド IdP には、SCIM データを同期するための独自の標準があります。

SCIM 同期の設定方法については、ID プロバイダーのドキュメントを確認してください。

次のステップ

この記事の手順を完了したら、IdP 内での SCIM の設定については、IdP 固有の記事を参照してください。現在利用可能な IdP サポート記事を次に示します。 Kandjiの SCIM 実装は SCIMv2 仕様に従います。