SCIMディレクトリ同期（プロビジョニング）の設定

SCIMプロビジョニングの機能

SCIM（System for Cross-domain Identity Management）は、IDプロバイダーがユーザーのライフサイクルの変更をアプリケーションにプッシュするために使用するオープン標準です。SCIMを有効にすると、ユーザーが割り当て、更新、または削除されるたびにIdPがCalendarBridgeにリクエストを送信し、CalendarBridgeはユーザーリストを自動的に同期し続けます。

• 標準： SCIM 2.0。
• 前提条件： 同じ検証済みドメインに対する有効なSSO設定。まずシングルサインオンの設定を参照してください。SCIMセクションは、各有効なSSO設定の下に表示されます。
• 設定できるユーザー： CalendarBridgeの組織管理者のみ。
• 操作： ユーザーの作成、ユーザー属性の更新、ユーザーの無効化（デプロビジョニング）。

SCIMエンドポイントとトークン

ドメインに対してSCIMを有効にすると、シングルサインオンタブにIDプロバイダーが必要とする2つの値が表示されます。

認証

CalendarBridgeは、HTTPのAuthorizationヘッダーに提示されるOAuth 2.0ベアラートークンでSCIMリクエストを認証します。トークンはIdPのSCIMコネクターに表示されたとおりに正確に入力してください（Oktaでは「Bearer」という語を含めないでください。Oktaが自動的に追加します）。SSOを再設定することなく、SCIMセクションからいつでもトークンをローテーションできます。

サポートされるリソースと属性

CalendarBridgeはSCIM 2.0のUsersリソースを実装しています。CalendarBridgeが読み取る属性を以下に示します。IdPが送信する追加の属性は受け入れられますが無視されます。

IDプロバイダーでSCIMを有効にする

シングルサインオンタブを開き、ドメインの有効な設定を見つけて、SCIMセクションまでスクロールします。組み込みガイドからIDプロバイダーを選択して正確なメニューパスを表示し、以下の該当するIdPの手順に従ってください。いずれの場合も、ポータルからSCIMエンドポイントとベアラートークンを貼り付けます。

Microsoft Entra ID（Azure AD）

1. アプリのプロビジョニングブレードを開く

   Microsoft Entra管理センターで、エンタープライズアプリケーションに移動し、CalendarBridgeアプリを開いてプロビジョニングを選択します。

2. プロビジョニングモードを自動に設定する

   次に資格情報を入力します。テナントURL = ポータルのSCIMエンドポイント、シークレットトークン = ポータルのベアラートークン。

3. 接続テストを行い、保存する

   接続テストをクリックして、Entra IDがエンドポイントに到達して認証できることを確認してから、保存します。デフォルトのユーザー属性マッピングはそのままにしておきます。

4. プロビジョニングをオンにしてユーザーを割り当てる

   プロビジョニングの状態をオンにして保存します。ユーザーとグループで、同期するユーザーまたはグループを割り当てます。Entra IDは次のサイクルでそれらをプロビジョニングします。

Okta

1. プロビジョニングタブを開く

   Okta管理画面で、CalendarBridgeアプリを開き、プロビジョニングタブに移動して、API統合の設定 → API統合を有効にするをクリックします。

2. SCIM資格情報を入力する

   Base URL = ポータルのSCIMエンドポイント、API token = ポータルのベアラートークン（Bearerプレフィックスなし）。API資格情報をテストをクリックしてから、保存します。

3. プロビジョニングアクションを有効にする

   プロビジョニング → To Appで、Create Users、Update User Attributes、Deactivate Usersを有効にします。

4. ユーザーまたはグループを割り当てる

   ユーザーまたはグループをアプリに割り当てます。OktaはそれらをただちにCalendarBridgeにプッシュします。

Google Workspace

1. 自動プロビジョニングを開く

   Google管理コンソールで、アプリ → ウェブアプリとモバイルアプリに移動し、CalendarBridge SAMLアプリを開いて自動プロビジョニングをクリックします。

2. SCIM資格情報を入力する

   Base URL = ポータルのSCIMエンドポイント、API token = ポータルのベアラートークン。接続をテストをクリックします。

3. 属性をマッピングする

   プライマリメール → userName、名 → name.givenName、姓 → name.familyNameをマッピングします。

4. 範囲を設定してオンにする

   プロビジョニングするユーザー、OU、またはグループを選択し、自動プロビジョニングをオンに切り替えます。

JumpCloud

1. Identity Managementを開く

   JumpCloud管理画面で、CalendarBridge SAMLアプリを開き、Identity Managementタブに移動します。

2. SCIMを有効にして資格情報を入力する

   Base URL = ポータルのSCIMエンドポイント、Token = ポータルのベアラートークン。テストをクリックして保存します。

3. ユーザーまたはグループを割り当てる

   ユーザーまたはユーザーグループをアプリに割り当てます。JumpCloudはそれらをCalendarBridgeに同期します。

SCIMトークンのローテーション

トークンが漏洩した、紛失した、あるいは単にスケジュールに従ってローテーションしたい場合は、SCIMセクションのトークンをローテーションをクリックします。新しいトークンは一度だけ表示されます。以前のトークンはただちに機能しなくなるため、同期の中断を避けるために、IdPのSCIMコネクターですぐに更新してください。

トラブルシューティング

サポートを受ける

SCIMプロビジョニングが期待どおりに動作しない場合は、組織のドメイン、IDプロバイダー、および割り当てた内容と同期された内容の説明を添えて、CalendarBridgeサポートにお問い合わせください。

• CalendarBridgeサポートに問い合わせる
• シングルサインオン（SAMLおよびOIDC）の設定