SCIMを用いたユーザー管理およびプロビジョニング

SCIMの概要

Organization用のSCIMサポートを構成するには以下の手順に従ってください。Organizationのセキュリティ管理者のみが、SCIMの構成を実施することができます。

SCIMとは？

クロスドメインID管理システム（SCIM）は、ユーザーIDの管理を簡単かつ自動的に行う目的で設計されたオープンな仕様です。 SCIMを使用すると、Okta、SailPoint IdentityIQ、PingFederate、OneLogin、Azure ActiveDirectoryなどのSCIM対応のIDプロバイダーを介し、Workivaユーザーの作成および一時利用停止を自動的に管理することができます。

さらに、SCIMはグループをサポートしているため、Organizationにおける役割、Workspaceのメンバーシップ、Workspaceにおける役割、およびWorkspaceグループの管理が可能です。これにより、お好みのIDプロバイダーからユーザーライフサイクル全体にわたる管理を実施することができます。

SCIMでは、2015年に公開された最新バージョンの標準SCIM 2.0が使用されています。このサービスは、現在のブラウザと同じようにHTTPS経由でのアクセスが可能であり、新しいファイアウォールのルールやネットワークの変更は必要ありません。

注：Workivaが構成に関するトラブルシューティングに対応できるのは、市販または無料で入手可能なSCIMをご利用のクライアントのみとなっています。

SCIM/SAMLのシングルサインオン

SCIMは、IDプロバイダー（IdP）を介してWorkivaへのアクセスを提供するSAMLベースのシングルサインオン（SSO）と組み合わせて使用する必要があります。SCIM設定を構成する前に、「SAMLシングルサインオンに関する基本事項」と「SAMLシングルサインオンの設定を必ずお読みください。

ステップ1：IDプロビジョナーを追加する

まず初めに、OrganizationでIDプロビジョナーを構成する必要があります。 IDプロビジョナーを作成するには、以下の手順に従ってください。

1. Organization管理で、[セキュリティ]をクリックします。
2. [IDプロビジョニング]をクリックします。
   
3. [プロビジョナーの追加]をクリックします。

ステップ2：プロビジョナー情報を入力する

これで、新しいIDプロビジョナーの関連付けを作成する準備が整いました。新しいIDプロビジョナーを作成するには、次の手順に従ってください。

1. 関連付けに対し、[フルネーム]を設定します。この名前は、「SailPoint Production」など、Workivaにユーザー情報を送信するシステムを説明する名前でなければなりません。
2. [認証情報タイプ]を設定します。どのタイプを使用するかを決定するには、IDプロバイダーのドキュメントを参照してください。 IDプロバイダーが両方のタイプをサポートしている場合は、Bearer Tokenの使用が推奨されます。
3. SCIMサービスが動作を行う対象となる[ユーザー名]を設定します。[アクティビティログ]に含まれるSCIMアクションは、選択したユーザーに関連付けられ、API認証情報もそのユーザーに対して生成されます。この作業には、Organizationのセキュリティ管理者とOrganizationのWorkspace管理者の役割を持つ専任ユーザーを作成することをお勧めします。
4. 必要に応じて、このIDプロビジョナーの説明を入力します。
5. [管理者の連絡先]の欄に、問題が発生した場合や将来的な機能拡張についての問い合わせを担当するIT部門の技術担当者の名前と電子メールアドレスを入力します。
   
6. [プロビジョニングの作成]をクリックして終了します。

次のステップで必要となるIDプロビジョナーの接続の詳細が表示されます。

ステップ3：IDプロバイダーを構成する

IDプロビジョナーの関連付けの設定を完了したら、クラウドベースまたはオンプレミスのIDプロバイダーソフトウェアがWorkivaに接続されるように構成することができます。必要となる手順の詳細は、IDプロバイダーによって異なります。サポートが必要な場合は、プロバイダーのドキュメントとサポートチャネルを参照してください。

• 以前のバージョンのSCIMプロトコルには対応不可であるため、接続がSCIM 2.0に設定されていることを確認してください。
• 基本認証情報タイプを使用している場合、IDプロバイダーソフトウェアにおいて使われる「ユーザー名」という言葉は「ID」と同義であり、「パスワード」は「認証情報」と同義である点にご注意ください。

ステップ4：ユーザーの役割とグループを管理する

Organizationの役割、Workspaceのメンバーシップ、Workspaceの役割、およびWorkspaceグループの割り当ては、SCIMグループを介して行うことができます。メンバーシップおよび役割の管理にSCIMグループを使用する場合、IDプロバイダーは、以下で説明する特定の規則に従ってSCIMグループを表示名でプッシュ/プルする必要があります。

制限とベストプラクティス

ユーザー、役割、およびグループでSCIMを操作する際には、次の点に注意してください。

• SCIMグループを使用してユーザーをWorkspaceの役割またはWorkspaceグループに追加する場合、追加するユーザーはWorkspaceのメンバーとして登録されている必要があります（詳細については上の表を参照してください）。
• ユーザーがまだメンバーとして登録されていない場合、ユーザーをWorkspaceに追加するようIDプロバイダーがリクエストを送信するのを最大30秒間待ちます。制限時間内にリクエスト送信が行われないと処理は失敗となりますが、ユーザーの追加が実施された場合はアクションが再開し、作業は正常に完了します。
• ユーザー（20名以上）に対しWorkspaceの役割またはWorkspaceグループを一括で割り当てる場合のベストプラクティスは、ユーザーにまずWorkspaceメンバーシップを与え、次にIDプロバイダーからの呼び出しでWorkspaceの役割またはWorkspaceグループが割り当てられるようにする方法です。この順序で作業を行うことにより、その他の変更（Workspaceの役割の追加など）が試行される前に、ユーザーがWorkspaceに適切に追加されていることを確認することができます。

サポートが必要ですか？

問題が発生した場合、またはIDプロビジョナーの設定についてサポートが必要な場合は、support@workiva.comまでプラットフォームにお問い合わせください。