SCIMディレクトリの統合 - Okta

  • hC
  • EF

始める前に

  • SCIM ディレクトリ統合のサポート記事で説明されている手順を完了して、Kandji テナントに新しい SCIM ユーザー ディレクトリを設定してください。SCIM アクセス トークンと API URL を取得する必要があります。

  • SCIMの組み込み標準ベースのプロビジョニングをサポートしている、Oktaの Advanced Lifecycle Management プランを使用していることを確認してください。

  • SCIM ディレクトリ統合の記事で説明されているように、提供されたトークンをコピーして保存してください。トークンは、[完了] をクリックすると表示されなくなり、後の手順で必要になります。

  • SCIM ディレクトリ統合に記載されているサポートされているユーザー属性とグループ属性を必ず確認してください。

OktaでSCIM統合を作成する

Okta Integration Network(OIN)で使用可能な Kandji アプリケーションは、SCIM用にプロビジョニングできません。SCIMを活用するには、新しいアプリケーション統合を作成する必要があります。この新しいアプリ統合は、OIN Kandji アプリケーションを活用する既存のOkta SSO統合に干渉しません。

  1. login.okta.com 経由でOktaテナントにログインします

  2. ログインしたら、左側のナビゲーションで[アプリケーション]>[アプリケーション]に移動します

  3. 「Create App Integration 」をクリックします

  4. アプリケーションの種類として [SAML 2.0 ] を選択し、[ 次へ] をクリックします。

  5. [一般設定] で、アプリに名前を付け、[アプリの公開設定] セクション内のチェックボックスをオンにします。次に、[次へ] をクリックします。

  6. [SAML 設定] で、[シングル サインオン URL] フィールドと [オーディエンス URI (SP エンティティ ID)] フィールドにダミー URL を入力します。その他の設定は変更しないでください。

  7. 「次へ」をクリックします。

    このアプリケーション統合をSSOには使用しないため、URLが有効である必要はありません。ただし、続行するには、これらのフィールドにURLを入力する必要があります。 KandjiでSAML SSOを有効にすることにした場合は、この同じアプリを使用して有効にすることができます。

  8. [Help Okta Support understand this application (Oktaサポートがこのアプリケーションをどのように構成したかを理解する助ける)で、[I’m an Okta customer adding an internal app(私は内部アプリを追加するOktaのカスタマーです)]を選択し、[Finish(完了)]をクリックします。

SCIM 設定の構成

  1. Kandji SCIM アプリで、[全般] タブに移動します。

  2. [設定] セクションで、[編集] をクリックします。

  3. [プロビジョニング] 設定で [SCIM] を選択します。

  4. 他の設定は変更せず、[ 保存] をクリックします。 

  5. 「プロビジョニング」タブで、「統合」セクションの「編集」をクリックします。

  6. [SCIM コネクタのベース URL] に、Kandji からコピーした SCIM 統合のベース URL を入力します (例: https://accuhive.api.kandji.io/api/v1/scim)。

  7. [Unique identifier field for users] に「 userName」と入力します。

  8. [ サポートされているプロビジョニングアクション] で、[ 新規ユーザーのプッシュ]、[ プロファイル更新のプッシュ]、および [ グループのプッシュ] を選択します。

  9. [Authentication Mode] で [HTTP Header] を選択します。

  10. [Authorization] には、前述の「Kandji SCIM ディレクトリ統合」の記事で取得したベアラートークンを入力します。

  11. [Test Connector Configuration] をクリックして、統合をテストします。

    • 表示されるモーダルでは、[ユーザーの作成]、[ユーザー属性の更新]、および[グループのプッシュ]のみをオンにする必要があります。

  12. 「保存」をクリックします。

  13. [Provisioning] タブで、[To App] セクションに移動し、[編集] をクリックします。

  14. [Provisioning to App ] セクションで、[ ユーザーの作成]、[ユーザー属性の更新]、および [ユーザーの非アクティブ化] を有効にします。

  15. [保存]をクリックします。

  16. (オプション) 「属性マッピング」 で、 Kandjiに送信するユーザー属性を編集します。 Kandji は、 SCIM ディレクトリ統合 のナレッジベース記事に記載されている属性のみを保存して使用します。

ユーザーとグループ

Kandji へのユーザーの割り当て

このセクションでは、kandji_apple_usersというOktaユーザーグループを作成してKandjiにユーザーを割り当てる方法について説明します。このグループは、Okta SCIMアプリの[Assignment(割り当て)]タブに追加されます。 

 この方法は、Okta SCIMを介してユーザーを Kandji に割り当てる方法を示す一例にすぎません。

  1. 新しいブラウザタブで、[ディレクトリ] > [グループ ] に移動し、[グループの追加] をクリックします。

  2. kandji_apple_userなどグループにわかりやすい名前を付け、[ 保存] をクリックします。

  3. 作成したグループを検索し、1 人以上のテストユーザーを追加します。

  4. Okta SCIMアプリが開いているブラウザタブに戻ります。

  5. [割り当て] タブに移動し、[割り当て] > [グループに割り当てる] をクリックします。

  6. 新しく作成したグループを検索し、[割り当て > 保存して戻る] をクリックします。

  7. グループが割り当てられたことを確認し、[ 完了] をクリックします。グループが [割り当て] タブの [グループ] セクションに表示されます。

  8. グループが表示されない場合は、ブラウザのタブを更新してみてください。

このグループに属するすべてのユーザーは Kandji にプッシュされ、 ユーザー モジュールに表示されます。グループを Kandji にプッシュする方法については、次のセクションで説明します。

グループを Kandji にプッシュする

このセクションでは、ユーザーグループを Kandjiにプッシュする方法について説明します。

Oktaグループを Kandji にプッシュして 割り当てルールで使用する予定の場合は、プッシュするグループごとに、SCIMアプリの[ Group Push ]タブに追加します。

この Oktaの記事によると、「割り当て」タブでユーザーを割り当てるために使用したグループは、「Push Groups」タブでは使用できません。Oktaでは、同じユーザーを含む追加のグループを作成し、新しいグループを[Push Groups]タブに追加して、一貫したグループメンバーシップを実現することを推奨しています。

両方の場所に同じグループを追加した場合、割り当てタブが優先され、グループがプッシュされない場合があります。これに対処する 1 つの方法は、すべての Kandji ユーザーを含む 1 つの「ユーザー割り当て」グループを作成し、そのグループを [割り当て] タブに追加することです。そこから、既存のOktaグループをプッシュグループとして使用できます。ユーザーとグループの関連付けを機能させるには、プッシュされたグループのメンバーが、SCIM アプリに割り当てられた Kandji ユーザー グループのメンバーでもある必要があることに注意してください。

  1. Push Groups 」タブで、「 Push Groups」>「Find groups by name」を選択します。(必要に応じて、 ルールでグループを検索を使用することもできます)

  2. グループを検索して選択します。

  3. [グループの作成] が選択されていることを確認します。

  4. 「保存して別のものを追加」をクリックします。

  5. Kandjiにプッシュするグループを検索して追加します。

ユーザーとグループの関連付けを機能させるには、プッシュされたグループのメンバーが、SCIM アプリに割り当てられた Kandji ユーザー グループのメンバーでもある必要があります。

kandji appleユーザーグループのメンバーシップ自動更新

Oktaグループルールを使用すると、プッシュグループとして使用されている既存のグループの1つにユーザーを追加するときに、 kandji_apple_users グループを自動的に更新できます。たとえば、開発者グループにユーザーを追加すると、これらのユーザーが自動的にkandji_apple_usersグループにも追加されるようなルールを作成できます。新しいユーザーはSCIMアプリに割り当てられ、SCIM統合を介して Kandji に送信され、グループの関連付けが更新されます。

  1. 「ディレクトリ」>「グループ」>「ルール」>「ルールを追加」をクリックします。

  2. ルールに名前を付けます。例: 「 kandji_apple_users グループ メンバーシップを更新」

  3. 条件として [グループ メンバーシップ] を選択します。

  4. プッシュグループとして使用するグループの名前を入力します。

  5. [Assign to] にkandji_all_apple」と入力します。

  6. 「保存」をクリックします。

  7. グループルールページに戻り、ルールの横に移動します。 [アクション ] ドロップダウンを選択し、[ アクティブ化] を選択します。

グループ更新のプッシュ

  • OktaのSCIMアプリに割り当てられたグループにユーザーを追加する場合は、プッシュグループとして追加したグループも必ず更新してください。

  • 更新はKandjiですぐに確認できますが、グループの更新をすぐにプッシュする場合は、Oktaアプリの[Push Groups]タブから[Push Now]オプションを選択できます。詳細については、 Oktaの記事を参照してください。

    ユーザーとグループの同期は一方向であるため、SCIMアプリは、送信する新しいまたは更新された情報がある場合にのみユーザー情報を Kandji に送信します。このため、 Kandji Web アプリでは [今すぐ同期] オプションは必要ありません。

プッシュされたグループの削除

次の手順を使用して、グループ更新のプッシュを停止するか、必要に応じてプッシュされたグループを Kandjiから削除します。

  1. Oktaのアプリの[ Push Groups(プッシュグループ )]タブに移動します。

  2. [プッシュ ステータス ] 列で、[プッシュ グループのリンク解除] を選択します

  3. [ターゲットアプリのグループを削除する (推奨)] オプションを選択します。これにより、ターゲットアプリのグループが削除され、ユーザーアカウントは削除されません。ユーザーアカウントは、[プロビジョニング] タブの割り当てグループに関連付けられています。 

  4. [リンク解除] をクリックします。

[ Push Groups ] タブにグループが表示されなくなります。