外部ユーザープロビジョニングの構成

外部ユーザープロビジョニングを有効にすると、SCIM(System for Cross-domain Identity Management)を活用して、単一の ID プロバイダーのデータソースで自動ユーザー管理ができるようになります。

アクセス許可

外部ユーザープロビジョニングは、Diligent One で有効にし、ID プロバイダーで設定する必要があります。 組織の外部ユーザープロビジョニングを構成するには、Diligent One のシステム管理者権限を持つユーザーと、ID プロバイダーの管理者権限を持つユーザーが必要です。 これらのアクセス許可は、外部ユーザープロビジョニングの設定を調整する必要がある 1 人以上のユーザーが保持できます。 通常、これを設定する必要があるのは 1 回のみで、その後はシステム側が実行します。

要件

Diligent One は SCIM 2.0 を介したユーザープロビジョニングをサポートし、1 つのデータソースからの自動ユーザー管理を有効にします。

サポートされる操作

外部ユーザープロビジョニングが有効になると、組織でのユーザーの追加と削除およびユーザープロファイルの更新は、ID プロバイダーから Diligent One に自動的にプッシュされます。

メモ

将来的には、グループの割り当てとグループの管理(追加と削除)の操作がサポートされる予定です。

外部ユーザープロビジョニングを有効にしても、Diligent One でユーザーを直接手動で追加および管理する機能は削除されません。 外部ユーザープロビジョニングを有効にすると、ユーザー管理のオプションに追加され、ハイブリッドソリューションで両方を使用できるようになります。

メモ

明確にするために、Diligent One に排他的に追加されたユーザー(ID プロバイダーとは同期していない)は、Diligent One でのみ管理できます。 ID プロバイダーで同期されたユーザーは、ID プロバイダーでのみ管理する必要があります。 Diligent One で同期されたユーザーに変更が加えられた場合、その変更は次回の同期で上書きされます。 ハイブリッドユーザープロビジョニングのサポートを参照してください。

ハイブリッドユーザープロビジョニングのサポート

ID プロバイダーがすべてのユーザーの単一ソースとして動作し、ユーザー管理を合理化および自動化することが理想的です。 ただし、システム内のユーザーを管理するためにハイブリッドソリューションが最適であるというシナリオも依然として存在する場合があります。 たとえば、トラブルシューティングやコンサルティングの目的で一時的なアクセスのみを必要とする場合は、ユーザーを ID プロバイダーに追加する必要がない場合があります。

ハイブリッドソリューションでは、Diligent One に排他的に追加されたユーザー(ID プロバイダーとは同期していない)は、Diligent One でのみ管理できます。 ID プロバイダーで同期されたユーザーは、ID プロバイダーでのみ管理する必要があります。

重要

次の情報は、組織にとって最適な選択を行い、以下の問題を回避できるように、ハイブリッドソリューションから生じる可能性のある潜在的な問題を認識することを意図しています。

  • 現在のところ、Diligent One では、ID プロバイダーによって管理されるユーザーと、Diligent One に手動で追加されたユーザーの間に視覚的な区別はありません。
  • Diligent One に手動で追加され、ID プロバイダーと同期していないユーザーは、Diligent One のみに存在し、Diligent One でのみ管理できます。
  • ユーザーが既に ID プロバイダーから同期されている場合は、Diligent One でユーザーの更新を管理しないでください。 ID プロバイダーと同期しているユーザーが Diligent One で編集された場合、それらの編集内容は、ID プロバイダーからの後続の自動同期によって上書きされます。 ID プロバイダーは、ユーザーが同期している場合、プロファイルがデフォルトとする単一の信頼できるソースになります。 この場合、変更は ID プロバイダーで行う必要があります。そのようにすると変更は Diligent One にプッシュされます。
  • リスクは低いですが、同期されたユーザーを ID プロバイダーから削除する前に Diligent One から削除すると、外部ソースで自動化のエラーが発生する可能性があります。 これが発生した場合は、Diligent One を ID プロバイダーと再同期するために、外部ソースで手動のアクションが必要になる可能性があります。 これが発生した場合は、サポートまでお問い合わせください。

制限

外部ユーザープロビジョニングは、組織ごとに 1 つの統合に制限されています。

Diligent One で外部ユーザープロビジョニングを有効にする

外部ユーザープロビジョニングの設定には、Diligent One での外部ユーザープロビジョニングの有効化と ID プロバイダーの設定という 2 つの主要な構成要素があります。

Diligent One での外部ユーザープロビジョニングの有効化

Diligent One で外部ユーザープロビジョニングを有効にすると、API キーが生成され、ID プロバイダーに追加すると設定プロセスが完了します。

  1. Launchpad を開きます。

    会社が Diligent One で複数のインスタンスを使用している場合は、該当するインスタンスがアクティブであることを確認します。

  2. [プラットフォームの設定]>[組織]を選択します。

    組織]のオプションが表示されない場合は、お客様がサインインに使用したアカウントには管理者権限がありません。

  3. ユーザープロビジョニングを管理]を選択します。 これにより[ユーザープロビジョニング]ページが開きます。
  4. ユーザープロビジョニングを有効にする]を選択します。 これにより API キーが生成され、[プロビジョニング設定の詳細]ダイアログボックスからコピー可能な[ベース URL]を取得できるようになります。
  5. API キーとベース URL をコピーし、値を安全な場所に保存して、[プロビジョニング設定の詳細]ダイアログボックスを閉じます。

    6. 注意

    セキュリティ対策として、API キーにアクセスできるのはこの機会だけです。 API キーを保存しておらず紛失したかまたは忘れた場合は、新しい API キーを作成する必要があります。そのためには、ID プロバイダーおよび Diligent One からの外部ユーザープロビジョニングを一時的に無効にし、新しいトークンを生成し、Diligent One と ID プロバイダーの両方でその新しいトークンを使用して外部ユーザープロビジョニングを再度有効にします。 外部ユーザープロビジョニングのトークンを更新するを参照してください。

  6. API キー]と[ベース URL]を保存したら、[閉じる]を選択します。 これにより[プロビジョニング設定の詳細]ダイアログボックスが閉じられ、[ユーザープロビジョニング]ページがリロードされ、SCIM 外部ユーザープロビジョニングが有効であることを確認できます。
  7. 外部ユーザープロビジョニング構成の設定の最後の側面は、ID プロバイダー内の Diligent One の外部で行われます。 ID プロバイダーの詳細の設定を参照してください。
    8. メモ

    外部ユーザープロビジョニングを有効にしても、サポートでのトラブルシューティングやコンサルティングなどのシナリオで短期的なアクセスを許可するために、ユーザーを手動で追加および削除することを引き続き選択できます。 ただし、仮にそうするとしても、同期の問題が発生する可能性があるため注意深く行う必要があります。 ハイブリッドユーザープロビジョニングのサポートを参照してください。

ID プロバイダーの詳細の設定

Diligent One で外部ユーザープロビジョニングを有効にすると、ID プロバイダーで外部ユーザープロビジョニングが構成されると設定は完了します。 外部ユーザープロビジョニングを設定する手順については、ID プロバイダーによって異なる場合があるため、その特定の ID プロバイダーのドキュメントを参照してください。 以下は当社が積極的にテストし、サポートしている ID プロバイダーです(ただし SCIM 2.0 をサポートするこれ以外の ID プロバイダーもこのソリューションに対応できる可能性があります)。

SCIM 属性マッピング

次の表は、Diligent One 属性が標準 SCIM 属性にどのようにマップされるかを示しています。

コアユーザースキーマ

SCIM 属性名 Diligent One 属性名 ユーザー作成時に必須
userName 電子メールアドレス はい
name.givenName はい
name.familyName はい
title タイトル いいえ
name.initials イニシャル いいえ
phoneNumbers(type work).value 電話番号 いいえ
phoneNumbers(type extension).value 内線電話番号 いいえ
name.middleName ミドルネーム いいえ
addresses[type eq "work"].streetAddress オフィス所在地(1 行目) いいえ
addresses[type eq "work"].streetAddress2 オフィス所在地(2 行目) いいえ
addresses[type eq "work"].locality オフィス所在地の市区町村 いいえ
addresses[type eq "work"].region オフィス所在地の都道府県 いいえ
addresses[type eq "work"].country オフィス所在地の国 いいえ
addresses[type eq "work"].postalCode オフィス所在地の郵便番号 いいえ
addresses[type eq "work"].location オフィスの場所 いいえ
phoneNumbers[type eq "home"].value 電話番号(代表) いいえ
phoneNumbers(type mobile).value 携帯電話番号 いいえ
phoneNumbers[type eq "mobile"].value セカンダリ電子メールアドレス いいえ

Policy Manager の拡張機能

ID プロバイダーのユーザーの属性を次の SCIM 属性にマッピングすることにより、SCIM を介して設定できる最大 13 個のオプションのフィールドがあります。

urn:ietf:params:scim:schemas:extension:Diligent:2.0:User:externalField<insert_field_number>Value

外部ユーザープロビジョニングのトークンを更新する

トークンを紛失したり、忘れたり、その有効期限が切れたりしている場合は、トークンを更新することが必要になる場合があります。 トークンを更新する必要がある場合は、外部ユーザープロビジョニングを Diligent One と ID プロバイダーの両方で一時的に無効にし、再度有効にする必要があります。 同期の問題を防ぐために、これは同時に行う必要があります。

同期の問題を回避するために、このプロセスの開始を準備する際には、1 回の作業で完了できることを確認します。 ID プロバイダーに実装する必要がある新しいトークンを Diligent One で生成するために、これらの手順を完了するには IT 部門または管理者との調整が必要になる場合があります。 このプロセスをいったん開始したら、後から続きをするということはお勧めしません。

  1. 選択はできますが、そうしないことを強くお勧めします。 ID プロバイダーで、ユーザープロビジョニングを無効にして、新しいトークンを実装します。 Diligent One で外部ユーザープロビジョニングが無効になると、ID プロバイダーからユーザーデータを受信しなくなりますが、ID プロバイダーは引き続き通常どおりユーザーデータを送信するため、エラーになります。 これを回避するには、ID プロバイダーからの外部ユーザープロビジョニングを無効にします。 これを無効にする方法は、ID プロバイダーごとに異なります。 ID プロバイダーの詳細の設定を参照してください。

    2. メモ

    続くいくつかの手順は、最後の手順を除き、すべて Diligent One 内で実行されます。

  2. Diligent One で、ユーザープロビジョニングを無効にして、新しいトークンを実装します。Launchpad を開きます。

    3. 会社が Diligent One で複数のインスタンスを使用している場合は、該当するインスタンスがアクティブであることを確認します。

  3. [プラットフォームの設定]>[組織]を選択します。

    4. 組織]のオプションが表示されない場合は、お客様がサインインに使用したアカウントには管理者権限がありません。

  4. ユーザープロビジョニングを管理]を選択します。 これにより[ユーザープロビジョニング]ページが開きます。

  5. ユーザープロビジョニングを無効にする]を選択します。 これにより[ユーザープロビジョニングを無効にしますか?] ダイアログ ボックスが開きます。

  6. 無効]を選択します。 既存の API キーは直ちに無効になり、すべてのユーザー同期が停止し、ユーザー管理は Diligent One でローカルにのみ実行できます。 これにより、[ユーザープロビジョニング]ページに戻り、ユーザープロビジョニングが正常に無効になったことを確認するメッセージが表示されます。

  7. ユーザープロビジョニングを有効にする]を選択します。 これにより API キーと、[プロビジョニング設定の詳細]ダイアログボックスからコピー可能な[ベース URL]が生成されます。
  8. API キーベース URL をコピーし、値を安全な場所に保存して、[プロビジョニング設定の詳細]ダイアログボックスを閉じます。

    9. 注意

    セキュリティ対策として、API キーにアクセスできるのはこの機会だけです。 API キーを保存しておらず紛失したかまたは忘れた場合は、Diligent One および ID プロバイダーでのユーザープロビジョニングを一時的に無効にし、新しいトークンを作成し、Diligent One と ID プロバイダーの両方でユーザープロビジョニングを再度有効にします。 外部ユーザープロビジョニングのトークンを更新するを参照してください。

  9. API キー]と[ベース URL]を保存したら、[閉じる]を選択します。 これにより[プロビジョニング設定の詳細]ダイアログボックスが閉じられ、[ユーザープロビジョニング]ページがリロードされ、SCIM ユーザープロビジョニングが有効であることを確認できます。
    10. メモ

    この手順では、Diligent One で外部ユーザープロビジョニング用の新しいトークンを生成するために必要な作業を実行します。 外部ユーザープロビジョニングを再設定する残りの手順は、新しく生成されたトークンを使用して ID プロバイダーで実行します。

  10. ID プロバイダーで、新しく生成されたトークンを使用して外部ユーザープロビジョニングを再度有効にします。 これを実行する手順は、使用している ID プロバイダーによって異なります。 ID プロバイダーの詳細の設定を参照してください。
    11. メモ

    ID プロバイダーに管理権限がない限り、IT 部門との調整が必要になる場合があります。

    ユーザープロビジョニングを再度有効にすると、同期が自動的に強制実行され、ユーザーデータが更新されます。

Diligent One で外部ユーザープロビジョニングを無効にする

紛失した、忘れた、または期限切れになったために新しいトークンを生成することのみを目的として、外部ユーザープロビジョニングを一時的に無効にする必要がある場合は、外部ユーザープロビジョニングのトークンを更新するを参照してください。 次の手順は、外部ユーザープロビジョニングを無効にして、Diligent One を介してのみユーザーを手動で管理する場合に使用します。

  1. ID プロバイダーで外部ユーザープロビジョニングを無効にします。 これを無効にする方法は、ID プロバイダーごとに異なります。 ID プロバイダーの詳細の設定を参照してください。
    メモ

    Diligent One で外部ユーザー プロビジョニングが無効にすると、ID プロバイダーからユーザー データを受信しなくなりますが、ID プロバイダーは引き続き通常どおりユーザー データを送信するため、エラーになります。これを回避するには、ID プロバイダーからの外部ユーザー プロビジョニングを無効にする必要があります。これには、IT 部門、または ID プロバイダーに対して適切なアクセス許可を持つ担当者との調整が必要になる場合があります。

  2. Launchpad を開きます。

    3. 会社が Diligent One で複数のインスタンスを使用している場合は、該当するインスタンスがアクティブであることを確認します。

  3. [プラットフォームの設定]>[組織]を選択します。

    組織]のオプションが表示されない場合は、お客様がサインインに使用したアカウントには管理者権限がありません。

  4. ユーザープロビジョニングを管理]を選択します。 これにより[ユーザープロビジョニング]ページが開きます。
  5. ユーザープロビジョニングを無効にする]を選択します。 これにより[ユーザープロビジョニングを無効にしますか?] ダイアログ ボックスが開きます。
  6. 無効]を選択します。 これにより、[ユーザープロビジョニング]ページに戻り、ユーザープロビジョニングが正常に無効になったことを確認するメッセージが表示されます。 既存の API キーは直ちに無効になり、すべてのユーザー同期が停止し、ユーザー管理は Diligent One でローカルにのみ利用可能になります。
  7. 組織ページに移動]を選択します。 ユーザープロビジョニングの無効化が完了しました。