SCIMディレクトリの統合 - Okta

  • hC
  • EF
  • CW
 Prev Next

始める前に

  • SCIM ディレクトリ統合のサポート記事で説明されている手順を完了して、Kandji テナントに新しい SCIM ユーザー ディレクトリを設定します。SCIM アクセス トークンと API URL を取得する必要があります。

  • Oktaの Advanced Lifecycle Management プランを使用していることを確認し、SCIMの組み込み標準ベースのプロビジョニングをサポートします。

  • SCIM ディレクトリ統合の記事で説明されているように、提供されたトークンをコピーして保存します。トークンは、[完了] をクリックすると表示されなくなり、後の手順で必要になります。

  • SCIM ディレクトリ統合に記載されているサポートされているユーザー属性とグループ属性を必ず確認してください。

OktaでSCIM統合を作成する

Okta Integration Network(OIN)で使用可能な Kandji アプリケーションは、SCIM用にプロビジョニングできません。SCIMを活用するには、新しいアプリケーション統合を作成する必要があります。この新しいアプリ統合は、OIN Kandji アプリケーションを活用する既存のOkta SSO統合に干渉しません。

  1. login.okta.com 経由でOktaテナントにログインします

  2. ログインしたら、左側のナビゲーションで[アプリケーション]>[アプリケーション]に移動します

  3. 「Create App Integration 」をクリックします

  4. アプリケーションの種類として [SAML 2.0 ] を選択し、[ 次へ] をクリックします。

  5. [一般設定] で、アプリに名前を付け、[アプリの公開設定] セクション内のチェックボックスをオンにします。次に、[次へ] をクリックします。

  6. [SAML 設定] で、[シングル サインオン URL] フィールドと [オーディエンス URI (SP エンティティ ID)] フィールドにダミー URL を入力します。その他の設定は変更しないでください。

  7. 「次へ」をクリックします。

    このアプリケーション統合をSSOには使用しないため、URLが有効である必要はありません。ただし、続行するには、これらのフィールドにURLを入力する必要があります。 KandjiでSAML SSOを有効にすることにした場合は、この同じアプリを使用して有効にすることができます。

  8. [Help Okta Support understand this application (Oktaサポートがこのアプリケーションをどのように構成したかを理解する)で、[This is an internal app that we have created(これは私たちが作成したインターナルアプリです)]を選択し、[Finish(完了)]をクリックします。

SCIM 設定の構成

  1. Kandji SCIM アプリで、[全般] タブに移動します。

  2. [設定] セクションで、[編集] をクリックします。

  3. [プロビジョニング] 設定で [SCIM ] を選択します。

  4. 他の設定は変更せず、[ 保存] をクリックします。 

  5. 「プロビジョニング」タブで、「統合」セクションの「編集」をクリックします。

  6. [ SCIM コネクタのベース URL] に、 Kandji からコピーした SCIM 統合のベース URL を入力します (例: https://accuhive.api.io/api/v1/scim)。

  7. [ ユーザーの一意の識別子フィールド] に「 userName」と入力します。

  8. [ サポートされているプロビジョニングアクション] で、[ 新規ユーザーのプッシュ]、[ プロファイル更新のプッシュ]、および [ グループのプッシュ] を選択します。

  9. [Authentication Mode] で [HTTP Header] を選択します。

  10. [Authorization] には、上記の「Kandji SCIM ディレクトリ統合」の記事で取得したベアラートークンを入力します。

  11. [Test Connector Configuration] をクリックして、統合をテストします。

    • 表示されるモーダルでは、[ユーザーの作成]、[ユーザー属性の更新]、および[グループのプッシュ]のみをオンにする必要があります。

  12. 「保存」をクリックします。

  13. [ プロビジョニング ] タブで、[ アプリへ ] セクションに移動し、[ 編集] をクリックします。

  14. [ アプリへのプロビジョニング ] セクションで、[ ユーザーの作成]、[ ユーザー属性の更新]、および [ユーザーの非アクティブ化] を有効にします。

  15. [ 保存]をクリックします。

  16. (オプション) 「属性マッピング」 で、 Kandjiに送信するユーザー属性を編集します。 Kandji は、 SCIM ディレクトリ統合 のナレッジ ベースの記事に記載されている属性のみを保存して使用します。

ユーザーとグループ

Kandji へのユーザーの割り当て

このセクションでは、kandji_apple_usersというOktaユーザーグループを作成してKandjiにユーザーを割り当てる方法について説明します。このグループは、Okta SCIMアプリの[Assignment(割り当て)]タブに追加されます。 

 この方法は、Okta SCIMを介してユーザーを Kandji に割り当てる方法を示す一例にすぎません。

  1. 新しいブラウザタブで、[ ディレクトリ] > [グループ ] に移動し、[ グループの追加] をクリックします。

  2. グループにわかりやすい名前を付けて kandji_apple_user [ 保存] をクリックします。

  3. 作成したグループを検索し、1 人以上のテスト ユーザーを追加します。

  4. Okta SCIMアプリを開いているブラウザタブに戻ります

  5. [ 割り当て ] タブに移動し、[ 割り当て] > [グループに割り当て] をクリックします。

  6. 新しく作成したグループを検索し、[ Assign > Save and Go Back] をクリックします。

  7. グループが割り当てられたことを確認し、[ 完了] をクリックします。グループが [割り当て] タブの [グループ ] セクションに表示されます。

  8. グループが表示されない場合は、ブラウザのタブを更新してみてください。

このグループに属するすべてのユーザーは Kandji にプッシュされ、 ユーザー モジュールに表示されます。グループを Kandji にプッシュする方法については、次のセクションで説明します。

グループを Kandji にプッシュする

このセクションでは、ユーザーグループを Kandjiにプッシュする方法を学びます。

Oktaグループを Kandji にプッシュして 割り当てルールで使用する予定の場合は、プッシュするグループごとに、SCIMアプリの[ Push Groups ]タブに追加します。

この Okta articleでは、「割り当て」タブでユーザーを割り当てるために使用したグループは、「プッシュグループ」タブでは使用できません。Oktaでは、同じユーザーを含む追加のグループを作成し、新しいグループを[Push Groups]タブに追加して、一貫したグループメンバーシップを実現することをお勧めします。

両方の場所に同じグループを追加した場合、割り当てタブが優先され、グループがプッシュされない場合があります。これに対処する方法の 1 つは、すべての Kandji ユーザーを含む 1 つの「ユーザー割り当て」グループを作成し、そのグループを [割り当て] タブに追加することです。そこから、既存のOktaグループをプッシュグループとして使用できます。ユーザーとグループの関連付けを機能させるには、プッシュされたグループのメンバーが、SCIM アプリに割り当てられた Kandji ユーザー グループのメンバーでもある必要があることに注意してください。

  1. プッシュ・グループ 」タブで、「 プッシュ・グループ」>「グループを名前で検索」を選択します。(必要に応じて、 ルールでグループを検索を使用することもできます)

  2. グループを検索して選択します。

  3. [グループの作成] が選択されていることを確認します。

  4. 「保存して別のものを追加」をクリックします。

  5. プッシュするグループを検索して追加 Kandji

ユーザーとグループの関連付けを機能させるには、プッシュされたグループのメンバーが、SCIM アプリに割り当てられた Kandji ユーザー グループのメンバーでもある必要があります。

kandji appleユーザーグループのメンバーシップ自動更新

Oktaグループルールを使用すると、プッシュグループとして使用されている既存のグループに誰かを追加するときに、 kandji_apple_users グループを自動的に更新できます。たとえば、開発者グループにユーザーを追加すると、新しいユーザーを開発者グループに追加すると、そのユーザーも kandji_apple_users グループに追加されるようにルールを作成できます。新しいユーザーは SCIM アプリに割り当てられ、SCIM 統合を介して Kandji に送信され、グループの関連付けが更新されます。

  1. [ディレクトリ] > [グループ] > [ルール] > [ルールの追加] をクリックします。

  2. ルールに名前を付けます。例: 「 kandji_apple_users グループ メンバーシップの更新」

  3. 条件として [グループ メンバーシップ ] を選択します。

  4. プッシュグループとして使用するグループの名前を入力します。

  5. [Assign to] にkandji_all_apple」と入力します。

  6. 「保存」をクリックします。

  7. グループルールページに戻り、ルールの横に移動します。 [アクション ] ドロップダウンを選択し、[ アクティブ化] を選択します。

グループ更新のプッシュ

  • OktaのSCIMアプリに割り当てられたグループにユーザーを追加する場合は、プッシュグループとして追加したグループも必ず更新してください。

  • 更新はKandjiですぐに確認できますが、グループの更新をすぐにプッシュする場合は、Oktaアプリの[Push Groups]タブから[Push Now]オプションを選択できます。詳細については、 Okta articleを参照してください。

    ユーザーとグループの同期は一方向であるため、SCIMアプリは、送信する新しい情報または更新された情報がある場合にのみユーザー情報を Kandji に送信します。このため、 Kandji Web アプリでは [今すぐ同期] オプションは必要ありません。

プッシュされたグループの削除

次の手順を使用して、グループ更新のプッシュを停止するか、必要に応じてプッシュされたグループを Kandjiから削除します。

  1. Oktaのアプリの[ Push Groups(プッシュグループ )]タブに移動します。

  2. [プッシュ ステータス ] 列で、[プッシュ グループのリンク解除] を選択します

  3. [ターゲット アプリのグループを削除する (推奨)] オプションを選択します。これにより、ターゲット アプリのグループが削除されますが、ユーザー アカウントは削除されません。ユーザー アカウントは、[プロビジョニング] タブの割り当てグループに関連付けられています。 

  4. [リンク解除] をクリックします。

[ Push Groups ] タブにグループが表示されなくなります。