SCIMディレクトリ同期(プロビジョニング)の設定
シングルサインオンが有効になると、CalendarBridgeはSCIM 2.0を使ってIDプロバイダーからユーザーアカウントを自動的に作成、更新、無効化できます。これにより、ユーザーはディレクトリで割り当てられた瞬間にプロビジョニングされ、退職した瞬間にデプロビジョニングされます。手動でのライセンス管理は不要です。
SCIMプロビジョニングの機能
SCIM(System for Cross-domain Identity Management)は、IDプロバイダーがユーザーのライフサイクルの変更をアプリケーションにプッシュするために使用するオープン標準です。SCIMを有効にすると、ユーザーが割り当て、更新、または削除されるたびにIdPがCalendarBridgeにリクエストを送信し、CalendarBridgeはユーザーリストを自動的に同期し続けます。
- 標準: SCIM 2.0。
- 前提条件: 同じ検証済みドメインに対する有効なSSO設定。まずシングルサインオンの設定を参照してください。SCIMセクションは、各有効なSSO設定の下に表示されます。
- 設定できるユーザー: CalendarBridgeの組織管理者のみ。
- 操作: ユーザーの作成、ユーザー属性の更新、ユーザーの無効化(デプロビジョニング)。
SCIMエンドポイントとトークン
ドメインに対してSCIMを有効にすると、シングルサインオンタブにIDプロバイダーが必要とする2つの値が表示されます。
| 値 | 説明 |
|---|---|
| SCIMエンドポイント(Base URL / Tenant URL) | IdPがSCIMリクエストを送信するベースURLです。SSOタブのコピーボタンでコピーしてください。 |
| ベアラートークン(API token / Secret token) | IdPがすべてのリクエストで提示する認証トークンです。生成時またはローテーション時に一度だけ表示されます。すぐにコピーしてIdPに保存してください。 |
認証
CalendarBridgeは、HTTPのAuthorizationヘッダーに提示されるOAuth 2.0ベアラートークンでSCIMリクエストを認証します。トークンはIdPのSCIMコネクターに表示されたとおりに正確に入力してください(Oktaでは「Bearer」という語を含めないでください。Oktaが自動的に追加します)。SSOを再設定することなく、SCIMセクションからいつでもトークンをローテーションできます。
サポートされるリソースと属性
CalendarBridgeはSCIM 2.0のUsersリソースを実装しています。CalendarBridgeが読み取る属性を以下に示します。IdPが送信する追加の属性は受け入れられますが無視されます。
| SCIM属性 | CalendarBridgeでのマッピング先 | 備考 |
|---|---|---|
userName | ユーザーの一意のログイン(メール) | 必須。組織の検証済みドメイン上である必要があります。 |
emails[primary] / emails[work] | メールアドレス | ユーザーをドメインとSSOに照合するために使用します。 |
name.givenName | 名 | 表示名を設定します。 |
name.familyName | 姓 | 任意。 |
active | アカウントの有効 / 無効 | active=falseを設定すると、CalendarBridgeユーザーをデプロビジョニング(無効化)します。 |
active=falseを設定する更新(ソフト削除)を送信し、CalendarBridgeでそのユーザーを無効化し、ライセンスを解放します。ユーザーを再割り当てすると再有効化されます。IDプロバイダーでSCIMを有効にする
シングルサインオンタブを開き、ドメインの有効な設定を見つけて、SCIMセクションまでスクロールします。組み込みガイドからIDプロバイダーを選択して正確なメニューパスを表示し、以下の該当するIdPの手順に従ってください。いずれの場合も、ポータルからSCIMエンドポイントとベアラートークンを貼り付けます。
Microsoft Entra ID(Azure AD)
-
アプリのプロビジョニングブレードを開く
Microsoft Entra管理センターで、エンタープライズアプリケーションに移動し、CalendarBridgeアプリを開いてプロビジョニングを選択します。
-
プロビジョニングモードを自動に設定する
次に資格情報を入力します。テナントURL = ポータルのSCIMエンドポイント、シークレットトークン = ポータルのベアラートークン。
-
接続テストを行い、保存する
接続テストをクリックして、Entra IDがエンドポイントに到達して認証できることを確認してから、保存します。デフォルトのユーザー属性マッピングはそのままにしておきます。
-
プロビジョニングをオンにしてユーザーを割り当てる
プロビジョニングの状態をオンにして保存します。ユーザーとグループで、同期するユーザーまたはグループを割り当てます。Entra IDは次のサイクルでそれらをプロビジョニングします。
Okta
-
プロビジョニングタブを開く
Okta管理画面で、CalendarBridgeアプリを開き、プロビジョニングタブに移動して、API統合の設定 → API統合を有効にするをクリックします。
-
SCIM資格情報を入力する
Base URL = ポータルのSCIMエンドポイント、API token = ポータルのベアラートークン(
Bearerプレフィックスなし)。API資格情報をテストをクリックしてから、保存します。 -
プロビジョニングアクションを有効にする
プロビジョニング → To Appで、Create Users、Update User Attributes、Deactivate Usersを有効にします。
-
ユーザーまたはグループを割り当てる
ユーザーまたはグループをアプリに割り当てます。OktaはそれらをただちにCalendarBridgeにプッシュします。
Google Workspace
-
自動プロビジョニングを開く
Google管理コンソールで、アプリ → ウェブアプリとモバイルアプリに移動し、CalendarBridge SAMLアプリを開いて自動プロビジョニングをクリックします。
-
SCIM資格情報を入力する
Base URL = ポータルのSCIMエンドポイント、API token = ポータルのベアラートークン。接続をテストをクリックします。
-
属性をマッピングする
プライマリメール → userName、名 → name.givenName、姓 → name.familyNameをマッピングします。
-
範囲を設定してオンにする
プロビジョニングするユーザー、OU、またはグループを選択し、自動プロビジョニングをオンに切り替えます。
JumpCloud
-
Identity Managementを開く
JumpCloud管理画面で、CalendarBridge SAMLアプリを開き、Identity Managementタブに移動します。
-
SCIMを有効にして資格情報を入力する
Base URL = ポータルのSCIMエンドポイント、Token = ポータルのベアラートークン。テストをクリックして保存します。
-
ユーザーまたはグループを割り当てる
ユーザーまたはユーザーグループをアプリに割り当てます。JumpCloudはそれらをCalendarBridgeに同期します。
SCIMトークンのローテーション
トークンが漏洩した、紛失した、あるいは単にスケジュールに従ってローテーションしたい場合は、SCIMセクションのトークンをローテーションをクリックします。新しいトークンは一度だけ表示されます。以前のトークンはただちに機能しなくなるため、同期の中断を避けるために、IdPのSCIMコネクターですぐに更新してください。
トラブルシューティング
| 症状 | 考えられる原因と対処 |
|---|---|
| 接続テストが401 / 認証失敗で失敗する | ベアラートークンが間違っているか、ローテーションされています。SCIMセクションから現在のトークンをコピーし(必要に応じてローテーション)、再入力してください。Oktaでは、Bearerプレフィックスを追加していないことを確認してください。 |
| ユーザーが作成されない | プロビジョニングがオンになっており、ユーザーがIdPのアプリに割り当てられていること、およびそのメールが検証済みドメイン上にあることを確認してください。 |
| 「ユーザーは検証済みドメイン上に存在する必要があります」というエラー | ユーザーのuserName/メールが、この組織で検証されていないドメイン上にあります。そのドメインを追加して検証するか、プロビジョニング範囲を検証済みドメインに限定してください。 |
| 削除されたユーザーがまだアクセスできる | デプロビジョニングは、IdPがactive=falseを送信したときに行われます。Deactivate Users(またはIdPの同等の機能)が有効になっており、ユーザーが単に非表示にされたのではなく割り当て解除されたことを確認してください。 |
サポートを受ける
SCIMプロビジョニングが期待どおりに動作しない場合は、組織のドメイン、IDプロバイダー、および割り当てた内容と同期された内容の説明を添えて、CalendarBridgeサポートにお問い合わせください。