この記事の対象者:
- 組織のセキュリティ管理者
SCIMの概要
以下の手順に従って、組織用のSCIMサポートを構成する。SCIMを構成するには、組織のセキュリティ管理者である必要があります。
SCIMとは?
System for Cross-domain Identity Management (SCIM)は、ユーザーIDを簡単かつ自動的に管理できるように設計されたオープンな仕様である。SCIM を使用すると、Okta、SailPoint IdentityIQ、PingFederate、OneLogin、Azure Active Directory などの SCIM 対応 ID プロバイダーを通じて、Workiva ユーザーの作成と停止を自動的に管理できます。
さらにSCIMは、組織ロール、ワークスペースのメンバーシップ、ワークスペース役割、ワークスペースグループの管理を可能にするグループをサポートしています。これにより、お好みのIDプロバイダーからユーザーライフサイクル全体を管理することができます。
SCIMは2015年に更新された最新版の規格、SCIM 2.0 を使用している。このサービスは、現在お使いのブラウザと同じようにHTTPSでアクセスでき、新たなファイアウォールルールやネットワークの修正は必要ありません。
注: Workivaは、市販またはフリーで入手可能なSCIMクライアントの構成のみをサポートし、トラブルシューティングを支援します。
SCIM/SAMLのシングルサインオン
SCIM は、ID プロバイダー(IdP)を通じて Workiva へのアクセスを提供する SAML ベースのシングルサインオン(SSO)と組み合わせて使用する必要があります。SCIM 設定を構成する前に、SAML シングルサインオンの基本 およびSAML シングルサインオンの構成 をレビューしてください。
ステップ 1: ID プロバイダーの追加
まず、組織で ID プロバイダーを構成する必要がある。IDプロバイダーを追加するには:
- 組織管理者ページで、[セキュリティ]をクリックします。
- プロビジョニング をクリックします。
- IDまたはAPIを追加 をクリックする。
- ドロップダウンでIDプロバイダー を選択する。
ステップ2:IDプロバイダー情報の入力
これで新しいIDプロバイダーを作成する準備ができました:
- 関連付けの名前 を設定します。この名前は、「SailPoint Production」など、Workivaにユーザー情報を送信するシステムを説明する名前でなければなりません。
- SCIM サービスが代行する Workiva ユーザー名 を設定します。アクティビティログ内のSCIMアクションは選択したユーザーに帰属し、API資格情報もそのユーザー用に生成されます。この目的のために、組織のセキュリティ管理者および組織ワークスペース管理者の役割を持つ専用ユーザーを作成することをお勧めします。
- 資格情報タイプの設定。どの ID プロバイダーを使用するかは、ID プロバイダーのドキュメントを参照すること。ID プロバイダーが両方に対応している場合は、ベアラトークンの使用を推奨する。
- 必要に応じて、この ID プロバイダーの説明 を入力します。
- [管理者の連絡先]の欄に、問題が発生した場合や将来的な機能拡張についての問い合わせを担当するIT部門の技術担当者の名前とEメールアドレスを入力します。
- [プロビジョニングの作成]をクリックして終了します。
すると、次のステップで必要となるIDプロバイダーの接続詳細が表示されます。
ステップ3:IDプロバイダーを構成する
ID プロバイダーを作成したら、クラウドベースまたはオンプレミスの ID プロバイダーソフトウェアを構成して、Workiva に接続することができます。必要な正確な手順は、ID プロバイダーによって異なります。サポートが必要な場合は、プロバイダーのドキュメントおよびサポートチャネルを参照してください。
- 以前のバージョンのSCIMプロトコルには対応不可であるため、接続がSCIM 2.0に設定されていることを確認してください。
- 基本認証情報タイプを使用している場合、IDプロバイダーソフトウェアにおいて使われる「ユーザー名」という言葉は「ID」と同義であり、「パスワード」は「認証情報」と同義である点にご注意ください。
ステップ 4: ユーザーの役割とグループの管理
SCIM グループを使用して、組織ロール、ワークスペースメンバシップ、ワークスペース役割、およびワークスペースグループを割り当てることができます。メンバシップおよび役割の管理に SCIM グループを使用するには、ID プロバイダーは、以下で説明する特定の規則に従って、SCIM グループを表示名でプッシュ/プルする必要があります。
権限の付与 | 表示名の書式 | 詳細 |
---|---|---|
組織ロール | 役割:<役割名> |
この名前を持つグループに割り当てられたユーザーには、指定された組織の役割が割り当てられます。 例えば、ユーザーをSCIMグループの「役割:組織のセキュリティ管理」に追加すると、そのユーザーには「組織のセキュリティ管理者」の役割が付与されます。 |
ワークスペースメンバー | ワークスペース:<ワークスペース名> |
この名前のグループに割り当てられたユーザーは、指定されたワークスペースのメンバーとして追加され、ワークスペースへの参加を承認する電子メール通知が送信されます。 例えば、SCIMグループの「ワークスペース:ABC株式会社内部監査」にユーザーを追加すると、「ABC株式会社内部監査」のワークスペース、およびデフォルトの「ワークスペースメンバー」の役割に対するアクセス権がユーザーに付与されます。 |
ワークスペース役割 | ワークスペース:<ワークスペース名>:役割:<ワークスペース役割名> |
この名前のグループに割り当てられた人には、指定されたワークスペースの指定されたワークスペース役割が与えられます。すでにワークスペースのメンバーである必要があります。ワークスペースのメンバーでない場合は、ID プロバイダーがユーザーをワークスペースに追加するよう要求するのを待つ間、システムは最大 30 秒間保留してから失敗します。時間切れになる前に追加されれば、このアクションは再開され、正常に完了します。 例えば、SCIMグループの「ワークスペース:ABC株式会社内部監査:役割:マネージャー」にユーザーを追加すると、「ABC株式会社内部監査」ワークスペースの「マネージャー」の役割がユーザーに付与されます。 |
ワークスペースグループ | ワークスペース:<ワークスペース名>:グループ:<ワークスペースグループ名> |
この名前のグループに割り当てられた人は、指定されたワークスペースの指定されたワークスペースグループに追加されます。すでにワークスペースのメンバーである必要があります。ワークスペースのメンバーでない場合は、ID プロバイダーがユーザーをワークスペースに追加するよう要求するのを待つ間、システムは最大 30 秒間保留してから失敗します。時間切れになる前に追加されれば、このアクションは再開され、正常に完了します。 例えば、SCIMグループの「ワークスペース:ABC株式会社内部監査:グループ:編集者」にユーザーを追加すると、「ABC株式会社内部監査」ワークスペースの「編集者」のワークスペースグループにユーザーが加えられます。 |
限界とベストプラクティス
ユーザー、役割、およびグループでSCIMを操作する際には、次の点に注意してください。
- SCIMグループを使用してユーザーをワークスペースの役割またはワークスペースグループに追加する場合、追加するユーザーはワークスペースのメンバーとして登録されている必要があります(詳細については上のテーブルを参照してください)。
- ワークスペースのメンバーでない場合は、ID プロバイダーがユーザーをワークスペースに追加するよう要求するのを待つ間、システムは最大 30 秒間保留してから失敗します。時間切れになる前に追加されれば、このアクションは再開され、正常に完了します。
- ワークスペース役割またはワークスペースグループにユーザーを一括で割り当てる場合(20 人以上)、ベストプラクティスとしては、まずユーザーにワークスペースメンバシップを与え、ID プロバイダーからのコールでワークスペース役割またはワークスペースグループを割り当てるようにします。この操作の順序により、ワークスペース役割の追加などの追加変更を行う前に、ワークスペースにユーザーが正しく追加されていることが確認されます。
お困りですか?
問題が発生したり、ID プロバイダの設定のサポートが必要な場合は、サポートまでお問い合わせください。