この記事の対象者:
- Organizationのセキュリティ管理者
SCIMの概要
Organization用のSCIMサポートを構成するには以下の手順に従ってください。Organizationのセキュリティ管理者のみが、SCIMの構成を実施することができます。
SCIMとは?
クロスドメインID管理システム(SCIM)は、ユーザーIDの管理を簡単かつ自動的に行う目的で設計されたオープンな仕様です。 SCIMを使用すると、Okta、SailPoint IdentityIQ、PingFederate、OneLogin、Azure ActiveDirectoryなどのSCIM対応のIDプロバイダーを介し、Workivaユーザーの作成および一時利用停止を自動的に管理することができます。
さらに、SCIMはグループをサポートしているため、Organizationにおける役割、Workspaceのメンバーシップ、Workspaceにおける役割、およびWorkspaceグループの管理が可能です。これにより、お好みのIDプロバイダーからユーザーライフサイクル全体にわたる管理を実施することができます。
SCIMでは、2015年に公開された最新バージョンの標準SCIM 2.0が使用されています。このサービスは、現在のブラウザと同じようにHTTPS経由でのアクセスが可能であり、新しいファイアウォールのルールやネットワークの変更は必要ありません。
注:Workivaが構成に関するトラブルシューティングに対応できるのは、市販または無料で入手可能なSCIMをご利用のクライアントのみとなっています。
SCIM/SAMLのシングルサインオン
SCIMは、IDプロバイダー(IdP)を介してWorkivaへのアクセスを提供するSAMLベースのシングルサインオン(SSO)と組み合わせて使用する必要があります。SCIM設定を構成する前に、「SAMLシングルサインオンに関する基本事項」と「SAMLシングルサインオンの設定を必ずお読みください。
ステップ1:IDプロビジョナーを追加する
まず初めに、OrganizationでIDプロビジョナーを構成する必要があります。 IDプロビジョナーを作成するには、以下の手順に従ってください。
- Organization管理で、[セキュリティ]をクリックします。
- [IDプロビジョニング]をクリックします。
- [プロビジョナーの追加]をクリックします。
ステップ2:プロビジョナー情報を入力する
これで、新しいIDプロビジョナーの関連付けを作成する準備が整いました。新しいIDプロビジョナーを作成するには、次の手順に従ってください。
- 関連付けに対し、[フルネーム]を設定します。この名前は、「SailPoint Production」など、Workivaにユーザー情報を送信するシステムを説明する名前でなければなりません。
- [認証情報タイプ]を設定します。どのタイプを使用するかを決定するには、IDプロバイダーのドキュメントを参照してください。 IDプロバイダーが両方のタイプをサポートしている場合は、Bearer Tokenの使用が推奨されます。
- SCIMサービスが動作を行う対象となる[ユーザー名]を設定します。[アクティビティログ]に含まれるSCIMアクションは、選択したユーザーに関連付けられ、API認証情報もそのユーザーに対して生成されます。この作業には、Organizationのセキュリティ管理者とOrganizationのWorkspace管理者の役割を持つ専任ユーザーを作成することをお勧めします。
- 必要に応じて、このIDプロビジョナーの説明を入力します。
- [管理者の連絡先]の欄に、問題が発生した場合や将来的な機能拡張についての問い合わせを担当するIT部門の技術担当者の名前と電子メールアドレスを入力します。
- [プロビジョニングの作成]をクリックして終了します。
次のステップで必要となるIDプロビジョナーの接続の詳細が表示されます。
ステップ3:IDプロバイダーを構成する
IDプロビジョナーの関連付けの設定を完了したら、クラウドベースまたはオンプレミスのIDプロバイダーソフトウェアがWorkivaに接続されるように構成することができます。必要となる手順の詳細は、IDプロバイダーによって異なります。サポートが必要な場合は、プロバイダーのドキュメントとサポートチャネルを参照してください。
- 以前のバージョンのSCIMプロトコルには対応不可であるため、接続がSCIM 2.0に設定されていることを確認してください。
- 基本認証情報タイプを使用している場合、IDプロバイダーソフトウェアにおいて使われる「ユーザー名」という言葉は「ID」と同義であり、「パスワード」は「認証情報」と同義である点にご注意ください。
ステップ4:ユーザーの役割とグループを管理する
Organizationの役割、Workspaceのメンバーシップ、Workspaceの役割、およびWorkspaceグループの割り当ては、SCIMグループを介して行うことができます。メンバーシップおよび役割の管理にSCIMグループを使用する場合、IDプロバイダーは、以下で説明する特定の規則に従ってSCIMグループを表示名でプッシュ/プルする必要があります。
権限の付与 | 表示名の形式 | 詳細 |
---|---|---|
Organizationの役割 | role:<役割名> |
この名前を持つグループに割り当てられたユーザーには、指定されたOrganizationの役割が割り当てられます。 例えば、ユーザーをSCIMグループの「role:Organizationのセキュリティ管理」に追加すると、そのユーザーには「Organizationのセキュリティ管理」の役割が付与されます。 |
ワークスペースメンバー | Workspace:<Workspace名> |
この名前のグループに割り当てられたユーザーは、指定されたWorkspaceのメンバーとして追加され、Workspaceへの参加を承認する電子メール通知が送信されます。 例えば、SCIMグループの「workspace:ABC株式会社内部監査」にユーザーを追加すると、「ABC株式会社内部監査」のWorkspace、およびデフォルトの「Workspaceメンバー」の役割に対するアクセス権がユーザーに付与されます。 |
Workspaceにおける役割 | Workspace:<Workspace名>:role:<Workspaceにおける役割名> |
この名前のグループに割り当てられたユーザーには、WorkspaceおよびWorkspaceにおける役割が指定され付与されます。ユーザーは、この時点でWorkspaceのメンバーとして登録されている必要があります。まだメンバーとして登録されていない場合、ユーザーをWorkspaceに追加するようIDプロバイダーがリクエストを送信するのを最大30秒間待ちます。制限時間内にリクエスト送信が行われないと処理は失敗となりますが、ユーザーの追加が実施された場合はアクションが再開し、作業は正常に完了します。 例えば、SCIMグループの「workspace:ABC株式会社内部監査:role:マネージャー」にユーザーを追加すると、「ABC株式会社内部監査」Workspaceの「マネージャー」の役割がユーザーに付与されます。 |
Workspaceグループ | Workspace:<Workspace名>:グループ:<Workspaceグループ名> |
この名前のグループに割り当てられたユーザーは、WorkspaceおよびWorkspaceグループが指定され、そのグループに追加されます。ユーザーは、この時点でWorkspaceのメンバーとして登録されている必要があります。まだメンバーとして登録されていない場合、ユーザーをWorkspaceに追加するようIDプロバイダーがリクエストを送信するのを最大30秒間待ちます。制限時間内にリクエスト送信が行われないと処理は失敗となりますが、ユーザーの追加が実施された場合はアクションが再開し、作業は正常に完了します。 例えば、SCIMグループの「workspace:ABC株式会社内部監査:group:編集者」にユーザーを追加すると、「ABC株式会社内部監査」Workspaceの「編集者」のWorkspaceグループにユーザーが加えられます。 |
制限とベストプラクティス
ユーザー、役割、およびグループでSCIMを操作する際には、次の点に注意してください。
- SCIMグループを使用してユーザーをWorkspaceの役割またはWorkspaceグループに追加する場合、追加するユーザーはWorkspaceのメンバーとして登録されている必要があります(詳細については上の表を参照してください)。
- ユーザーがまだメンバーとして登録されていない場合、ユーザーをWorkspaceに追加するようIDプロバイダーがリクエストを送信するのを最大30秒間待ちます。制限時間内にリクエスト送信が行われないと処理は失敗となりますが、ユーザーの追加が実施された場合はアクションが再開し、作業は正常に完了します。
- ユーザー(20名以上)に対しWorkspaceの役割またはWorkspaceグループを一括で割り当てる場合のベストプラクティスは、ユーザーにまずWorkspaceメンバーシップを与え、次にIDプロバイダーからの呼び出しでWorkspaceの役割またはWorkspaceグループが割り当てられるようにする方法です。この順序で作業を行うことにより、その他の変更(Workspaceの役割の追加など)が試行される前に、ユーザーがWorkspaceに適切に追加されていることを確認することができます。
サポートが必要ですか?
問題が発生した場合、またはIDプロビジョナーの設定についてサポートが必要な場合は、support@workiva.comまでプラットフォームにお問い合わせください。