始める前に
SCIM ディレクトリ統合のサポート記事で説明されている手順を完了して、Kandji テナントに新しい SCIM ユーザーディレクトリを設定してください。SCIM アクセス トークンと API URL を取得する必要があります。
SCIM ディレクトリ統合の記事で説明されているように、提供されたトークンをコピーして保存してください。トークンは、[完了] をクリックすると表示されなくなり、後の手順で必要になります。
SCIM ディレクトリ統合に記載されているサポートされているユーザー属性とグループ属性を必ず確認してください。
OneLoginでのSCIM統合の作成
OneLogin管理コンソールにログインします。(例:https://accuhive.onelogin.com/admin2)
上部のナビゲーションで、[ アプリケーション] にカーソルを合わせます。
ドロップダウンメニューの[ アプリケーション ]をクリックします。
右上の「 アプリを追加」をクリックします。
テキストフィールドに「 SCIM Provisioner」と入力します。
[ SCIM Provisioner with SAML (SCIM v2 Enterprise)] をクリックします。
SCIM 設定の構成
SCIM Provisioner with SAML (SCIM v2 Enterprise) アプリケーションを起動したら、次の手順を使用して SCIM 設定を構成します。次の手順には、ユーザーとグループ (ロール) のプロビジョニングが含まれます。
情報
(オプション)アプリの表示名を Kandji SCIM Provisioner などに更新します。
(オプション)アプリをOneLoginポータルに表示するかどうかを選択します。
(オプション)アイコンを追加します。
(オプション)説明を追加します。
基本設定が完了したら、[ 保存] をクリックします。
Parameters
Parametersページに移動します。
右側の 追加(+)ボタンをクリックします
「フィールド名」に「email.value」と入力します。
「保存」をクリックします。
email.value Parameter をクリックし、値を Email に設定します。
「保存」をクリックします。
構成
[Configuration(構成)] ページに移動します。
[SCIM Base URL] フィールドに、以前に SCIM ディレクトリ統合のサポート記事を使用して作成した統合の Kandji SCIM URL を貼り付けます。(例:https://accuhive.api.kandji.io/api/v1/scim)。
[SCIM Bearer Token] フィールドに、Kandji統合の作成時にコピーしたトークンを貼り付けます。
[ Enable ] をクリックして、API 接続をオンにします。
「保存」をクリックします。
プロビジョニング
[プロビジョニング] ページに移動します。
[プロビジョニングを有効にする] ボックスを選択します。
[ユーザーの作成]、[ユーザーの削除]、および[ユーザーの更新]の横にあるチェックボックスをオフにします。
[OneLoginでユーザーが削除されたとき、またはユーザーのアプリアクセスが削除されたとき...]オプションの場合は、[削除]を選択します。
[OneLoginでユーザーアカウントが一時停止された場合...]オプションの場合は、[一時停止]を選択します。
次に、右上の[ 保存 ]をクリックして、初期設定を保存します。
ユーザーとロール (Kandji グループ) の Kandji へのプロビジョニング
次の手順を使用して、ユーザーとOneLoginの役割をSCIM統合を介して Kandji に送信します。
OneLogin ロールは、 Kandjiのグループと同義であり、SCIM 設定に割り当てられます。ユーザーがOneLoginでロールに割り当てられると、ユーザーは Kandjiにプッシュされます。さらに、SCIM アプリに割り当てられたロールは、グループとして Kandji にプッシュされます。
ロールの作成
上部のナビゲーションで、[ユーザー] にカーソルを合わせます。
ドロップダウンメニューで、[ロール]をクリックします。
[新しいロール] をクリックします。
ロールに名前を付けます。
ロールに割り当てるアプリを選択します。今回の場合、SCIMアプリを選択しました。
「保存」をクリックします。
ロールへのユーザーの割り当て
作成したばかりのロールを再度クリックします。
[ユーザー] をクリックします。
[自動的に追加されたユーザー] で、[新しいマッピング] をクリックします。
マッピングに名前を付けます。
ニーズを満たす条件を作成します。この例では、条件として [グループ メンバーシップ] を選択しましたが、部署などの他の条件を使用することもできます。
OneLoginでは、ユーザーが1つのグループのメンバーになることしかできないため、OneLoginグループは、部門や場所と同様にユーザーを説明する属性と考えることができます。ユーザーが複数の「グループ」のメンバーである必要がある場合は、OneLoginの役割を使用します。
[アクション] で、適用するロールを選択します。
「保存」をクリックします。
グループプロビジョニングの詳細については、 こちらのOneLoginのドキュメントを参照してください。
必要に応じて、各ユーザーのレコードから手動でユーザーを SCIM アプリに追加することもできます。
SCIM アプリへのルールの追加
以下の手順を使用して、OneLogin SCIMアプリで1つ以上のロール(Kandji グループ)を Kandji にプッシュします。
SCIM アプリで、[ ルール] をクリックします。
[ルールの追加] をクリックします。
ルールに名前を付けます。
[アクション] で、最初のドロップダウンから [グループに設定] を選択します。
Map from OneLogin(OneLoginからマップ)を選択します。
[ For each ] フィールドで、ドロップダウンから [role ] を選択します。
[with value that matches(一致する値 を使用)] フィールドに、グループとして Kandji にプッシュする SCIM ロールを入力します。
「保存」をクリックします。
アップデートのプッシュ
同期
ユーザー同期とグループの同期は一方向であり、SCIM アプリは、送信する新しいまたは更新された情報がある場合にのみユーザー情報を Kandji に送信します。このため、 Kandji Web アプリでは [今すぐ同期] オプションは必要ありません。
OneLoginでSCIMアプリが更新された場合は、変更を保存してから、 エンタイトルメントマッピングの再適用を使用する必要があります。
[その他のアクション] メニューにカーソルを合わせます。
「エンタイトルメント・マッピングの再適用」オプションをクリックします。