SCIM ディレクトリ統合

  • hC
  • EF

SCIMとは?

SCIM( System for Cross-domain Identity Management)は、異なるシステム間でのユーザーIDの管理をより簡単かつ効率的にするために設計されたプロトコルです。これは、ユーザーの追加と削除のプロセスを自動化するのに役立つため、複数のクラウドベースのアプリケーションを使用している場合に特に便利です。

SCIMのしくみ

SCIM には、次の 2 つの主要な役割があります。

  • クライアント - これは通常、Microsoft Entra ID や Okta などの ID プロバイダーまたは ID アクセス管理システムであり、コア ID データを管理します。

  • サービスプロバイダー - Kandjiのようなサービスとしてのソフトウェア (SaaS) アプリケーションで、ID データを使用してユーザーのアクセスと権限を管理します。

SCIM は、プロビジョニング、同期、プロビジョニング解除など、いくつかの操作をサポートしています。この一方向の同期により、 Kandjiでユーザー アカウントを自動的に作成し、 MDM と IdP の間でユーザー属性を最新の状態に保ち、不要になったユーザー アカウントを自動的に削除または無効にすることができます。

Kandjiでの SCIM の設定

ID プロバイダー(IdP)と Kandjiの間の SCIM 統合を設定するには、次の操作を行う必要があります。

  • Kandji で新しい SCIM ディレクトリ統合を作成する

  • IdPで使用するSCIM API URL と API トークンをKandji から取得する

  • IdPにアクセスして、アプリ統合を作成し、SCIM属性をマッピングし、目的のユーザーグループをプッシュする

新しい SCIM ディレクトリ統合の作成

  1. 左側のナビゲーションバーで [統合] に移動します。

  2. [統合] ページの右上にある [Discover integrations] をクリックします。 

  3. SCIM プロトコル タイルで、[追加と構成] をクリックします。 cR2a2LzQK-T-4SAjEUwAbZE1qjK9VGCTEw

  4. [開始する] をクリックします。 qikoScDAkueWToPti4z0Hy1JCWra5rUxbQ

  5. SCIM 統合の一意の名前を入力します。

  6. 「トークンの生成」をクリックします。SCIM ユーザーディレクトリ統合では、認証方法としてベアラートークンを含む HTTP 認証ヘッダーを使用します。 z4S8DtfEeWwMYzKioL4OCbc_TVmdk9r-gA

  7. [トークンのコピー] をクリックします。

  8. トークンをコピーしたことを確認し、トークンの詳細を再度表示する場合はトークンを変更する必要があることを知っておいてください。

  9. [完了] をクリックします 。 [ 統合] ページに戻ります。 X_t81brzyBNcsgrI-IQnIiDpFR5EvhgSZw

SCIM API の URL を取得する

SCIM API の URL は https://subdomain.api.kandji.io/api/v1/scim の形式になります

  1. 作成したばかりの SCIM ディレクトリ統合の 省略記号 をクリックします。

  2. [詳細の表示] を選択します。

  3. SCIM API URL をコピーします。あなたのIDプロバイダーがこれを必要とします。

  4. 「閉じる」をクリックします。 Veib5GkQyIKAIM7AB6hE9fTW5z-NS2eDqQ

SCIM スキーマとサポートされている属性

Kandji では、次の SCIM 属性がサポートされています。IdP で SCIM アプリケーションをマッピングする場合は、これらの属性を参照してください。 

Kandji では、以下のリストにない属性は使用されません。送信される属性を制限するには、IdPのSCIMアプリで設定された属性を変更してください。

ユーザー属性

属性

概要

必須

userName

サービスプロバイダーへの認証に使用されるユーザーの一意の識別子

はい

name.formatted

ユーザーのフルネーム (例: "John Doe")。この属性または displayName 属性は必須です

いいえ

displayName

ユーザーのフルネーム (例: "John Doe")。この属性または name.formatted 属性は必須です

はい

title

ユーザーの役職 (「副社長」など)。

いいえ

active

ID プロバイダー内のユーザーのステータス。 Kandji は、ソフト削除されたユーザーと非アクティブなユーザーは、 Kandjiの [アーカイブされたユーザー] セクションに移動します。この属性は、ID プロバイダーによって自動的に追加されます。

はい

emails.value

メールのサブ属性としてのユーザーのメールアドレス。 Kandji は、リスト上の最初のメールのみを保存します。

はい

department

部門の名前を識別します。

いいえ

グループ属性

属性

概要

必須

displayName

人間が読めるグループの名前。

はい

members

グループ内のメンバーの一覧。

はい

SCIM を使用してディレクトリからユーザーを同期する場合、SCIM アプリは自動的に新しい情報を Kandjiに送信するため、ネイティブの Entra ID または Google Workspace ディレクトリ統合を使用する場合に表示される [今すぐ同期] ボタンは必要ありません。各クラウド IdP には、SCIM データを同期するための独自の標準があります。

ID プロバイダーのドキュメントを参照して、SCIM 同期の構成方法を確認してください。

次のステップ

この記事の手順を完了したら、IdP 内での SCIM の設定については、IdP 固有の記事を参照してください。以下は、現在利用可能なIdPサポート記事です。 Kandjiの SCIM 実装は SCIMv2 仕様に準拠しています。