Druva inSyncユーザー管理向けSCIMの使用について
概要
inSync管理者は System for Cross-domain Identity Management(SCIM)v2.0を使用してDruva inSyncでのユーザー管理を自動化できます。SCIMは、IDプロバイダー(IdP)とユーザーID情報を必要とするアプリケーション(エンタープライズSaaSアプリなど)の間でユーザーIDを交換するための標準仕様です。
組織は、IdP(アイデンティティプロバイダー)をソースディレクトリとして使用してユーザーの管理および認証を行い、さまざまなアプリケーションへのアクセスを提供します。Druva inSyncをSCIM準拠のIdPと連携すると、ユーザーはIdPのアクションによって自動的に管理されます。
Druva inSyncは、SCIM実装に関する以下のRFC標準に準拠しています。
SCIMとの統合後、
- IdPにおいてSCIMアプリに新しいユーザーアカウントが割り当てられると、Druva inSync上にユーザーアカウントが自動的に作成されます。
- ユーザーアカウントのステータスとその情報は、IdPが更新されるとDruva inSyncでも自動的に更新されます。現在、ユーザー情報について以下の更新がサポートされています。
- 表示名の変更(名+姓の組み合わせ、またはその逆)
- メールアドレスの変更
- ユーザーアカウントステータス更新の変更。ユーザーアカウントステータスのアクティブから非アクティブへの変更、および非アクティブからアクティブへの変更のみ対応しています。
- ユーザーアカウントがIdPで非アクティブ化されるかSCIMアプリから削除されると、ユーザーアカウントはDruva inSync上で自動的にPreserved状態に変更されます。
<重要>
- Druva inSyncはIdPのユーザー情報を更新しません。つまり、Druva inSyncはユーザーアカウントの作成、更新、削除や、情報の変更を行いません。
- inSync管理コンソールでinSync管理者によってPreservedとされたユーザーは、IdPから再度アクティベートすることはできません。
- ユーザーがIdPによって非アクティブ化された場合、管理者はSCIMアプリをユーザーに再度割り当てて、inSyncでユーザーアカウントをアクティベート(ユーザーアカウントのステータスを保持からアクティブに変更)する必要があります。
- 手動で作成されたユーザーは、それらのアカウントに対してIdPによりSCIMアプリが割り当てられた後、SCIMを使用して自動的に管理されます。
Druva inSyncで利用可能な他のユーザー管理オプションよりもSCIMを使用することの利点
-
SCIMベースのユーザー管理は、CSVベースのユーザー管理と比べると完全に自動化されます。これにより、ユーザーを一貫して作成および管理するための管理者の労力が軽減されます。
-
IdP内のユーザーアカウントとその情報がDruva inSyncとリアルタイムで同期されること。 固定間隔で実施されるADやLDAP同期とは異なり、IdPの場合、IdPで更新が行われるたびにユーザーデータを同期します。
-
Druva クラウドアプリの顧客のみがIdPのUPNを利用してDruva inSyncでユーザーを識別および管理することができます。
-
ADまたはLDAPを導入する必要がなくなります。複数のSaaSアプリケーションにわたってユーザーを管理するための複雑さ、リスク、時間を削減します。
<重要>
- SCIMを使用するオプションは、Druva inSyncでADまたはLDAPを使用してユーザーを管理していない顧客のみが使用できます。
- Druva inSync管理コンソールでユーザーをインポートするためにADまたはLDAPアカウントを構成する必要はありません。
- Druva inSync管理コンソールにADまたはLDAPマッピングが存在しないようにする必要があります。
- Druva inSync管理コンソールには、「Active」および「Preserved」状態のADまたはLDAP管理ユーザーが存在してはなりません。
- Druva inSyncで手動で追加されたユーザーに割り当てられたプロファイルとストレージについて、SCIMを使用して管理したい場合は移行後も同様に利用できます。
認定済みSCIMベースのIdP
以下のSCIM v2.0準拠IdPは、Druvaによって認定されています。
- Okta
- Microsoft Azure AD
* Druvaはパートナーシッププログラムを通じて、他のSCIM 2.0準拠IdPの認定ソリューションを提供します。他のSCIM v2.0に準拠したのIdPを使用したい場合の技術支援については、Druvaサポートまでお問い合わせください。
サポートされているプロビジョニング操作
次のSCIMプロビジョニング操作がサポートされています。
- 個別ユーザーアカウントの作成
- ユーザーアカウントのステータスと情報の更新。現在、以下の情報更新がサポートされています。
- 表示名(名+姓の組み合わせ)の更新
- メールアドレス更新
- ユーザーアカウントステータス更新の変更。ユーザーアカウントステータスのアクティブから非アクティブへの変更、および非アクティブからアクティブへの変更のみ対応しています。
- ユーザーアカウントの非アクティブ化または削除
<重要>
- IdPでユーザーを非アクティブ化または削除すると、Druva inSyncでユーザーアカウントがPreservedになります。
サポートされていないプロビジョニング操作
次のSCIMプロビジョニングアクションはサポートされていません。
- パスワード同期
- Druva inSyncからIdPへのユーザーアカウントの管理または移行
- Druva inSyncのIdP内のユーザーグループの管理
Druva inSyncでSCIMを使用してユーザーを管理する流れ
Druva inSyncでクラウドアプリのみのユーザーアカウントを管理する流れ
- クラウドアプリのみが有効で、設定が構成されているプロファイルを作成します。詳細については、「プロファイルの作成と管理」を参照してください 。
- クラウドアプリ設定を構成して、クラウドアプリアカウントのユーザーアクセス設定を定義します。デフォルトでは、Druva inSyncはinSyncユーザーのメールアドレスを使用します。ユーザープリンシパル名(UPN)を使用するようにinSyncを設定できます。詳細については、「クラウドアプリの設定」を参照してください。
- ユーザー管理にSCIMを使用するようにDruva inSyncを構成します。詳細については、SCIMを使用してユーザーを管理するようにinSyncを設定するを参照してください 。
- IdPで必ずuserPrincipalName SCIM属性を構成し、その値を定義してください。詳細については、Druva inSyncと統合するためのIdPの構成を参照してください。