SCIMを使用したinSyncユーザー管理の設定
概要
本文書では、Druva inSync管理者がSCIM連携を有効にし、Druva inSyncでユーザーを管理するために実行する必要がある手順を示します。
前提条件
Druva クラウド管理者とinSync クラウド管理者のみが、SCIMを使用してユーザーを管理するようにDruva inSyncを設定できます。
手順
手順1:SCIMを使用してユーザーを管理するようにDruva inSyncを構成
inSync管理者は、inSync管理コンソールでユーザーインポート方法を指定する必要があります。inSync管理コンソールでユーザーを管理するためにSCIMの設定と利用を行うには、次の手順を実行します。
- inSync管理コンソールのメニューバーで、Manage > Deployments > Users をクリックします。
- [ User Deployment ] ページで [ Use SCIM ] をクリックして、SCIMベースのIdPを使用してユーザーをインポートおよび管理します。
- 表示される確認ダイアログボックスでメッセージを読み、[ Confirm ] をクリックします。
IdPをDruva inSyncと連携するためのトークンを生成するためにリダイレクトされます。
手順2:IdPをDruva inSyncと統合するためのトークンを生成する
inSync クラウド管理者は、ユーザー管理にSCIMを選択した後、Druva inSyncでユーザーを管理するIdPと連携するトークンを生成する必要があります。トークンは、Druva inSyncでIdPを識別および認証するためのキーです。
<重要>
- API gateway feature is disabled for your account (APIゲートウェイ機能がアカウントで無効) というメッセージが表示された場合、Druvaサポートに連絡してこの機能をアカウントで有効にしてください。
- トークンを生成できるのは、Druva クラウド管理者とinSync クラウド管理者だけです。
- トークンを生成したらすぐにコピーし、保存する必要があります。トークンはinSync管理コンソールに保存されません。
- 生成されたトークンは365日間有効です。
- inSyncクラウド管理者が別のトークンを生成すると、以前のトークンは無効になります。新しいトークンを使用して、既存のSCIMアプリを再構成する必要があります。
手順
トークンを生成するには、以下を行います。
前の手順で、[ User Deployment ] ページの [ Settings ] タブにリダイレクトされた場合は、[ Auth Token for SCIM] セクションで [ Generate Token ] をクリックします。
または、以下を行います。
- inSync管理コンソールのメニューバーで、Manage > Deployments > Users をクリックします。
- [ User Deployment ] ページで、[ Settings ] タブをクリックします。
- [ Auth Token for SCIM ] セクションで、[ Generate Token ] をクリックします。
トークンが生成されます。トークンをコピーして保存します。これを使用して、手順5の後半でIdPとDruva inSyncのAPI連携を有効にします。
手順3:SCIMマッピングを作成する
SCIMマッピングにより、inSync管理者はフィルターパラメーター(IdPで構成されたSCIM属性)を定義してユーザーを自動的に分類し、フィルター基準に一致するユーザーに対して割り当てるプロファイル、ストレージリージョン、ストレージ割当量を定義できます。
inSync管理者は複数のマッピングを作成して、さまざまなSCIM属性と値のペアに基づいてユーザーを分類できます。複数のマッピングを作成した後、管理者はユーザー分類を優先するマッピングの優先順位を指定することもできます。
Druva inSyncは標準のSCIM属性をサポートしています。カスタムSCIM属性をマップし、マッピングを作成してユーザーを分類することもできます。
<重要>
- SCIMマッピングで定義するSCIM属性は、IdPのIdP属性にマップする必要があります。そうでない場合、ユーザーの作成は失敗します。
- ユーザーがDruva inSyncで作成されたSCIMマッピングに分類または該当しない場合、ユーザーアカウントの作成は失敗します。
- Druvaは、「Allow any user (すべてのユーザーを許可する)」構成でデフォルトマッピングを作成することも推奨します。このデフォルトマッピングにより、どのマッピングにも分類または分類されないユーザーはすべてデフォルト構成で生成されます。このデフォルトマッピングの優先度は最低に設定すればよいです。
- SCIMマッピングを作成すると、マッピング名とinSync構成のみを変更できます。ユーザー条件を変更してユーザーをフィルタリングすることはできません。
- フィルターは大文字と小文字を区別します。SCIMマッピングで指定する値とIdPの属性値は大文字小文字を合わせなければなりません。
はじめに
以下があることを確認してください。
- プロファイルが作成されていること - プロファイルはユーザーに適用される一連の構成です。プロファイルを使用して、バックアップ対象のデータ元、そのプロファイルに属するすべてのユーザーに自動的に適用される一般的なバックアップ構成パラメーターを定義できます。詳細については、「プロファイルの作成と管理」を参照してください。
- Druva inSyncストレージリージョンが設定されていること。
手順
- inSync管理コンソールのメニューバーで、Manage > Deployments > Users をクリックします。
- [ User Deployment ] ページの [ Mappings ] タブで、 [ New Mapping ] をクリックします。
- [ Create Mapping ] ウィザードの [ Mapping Configuration ] タブで、次の情報を指定します。
- Mapping Name (マッピング名) - SCIMマッピングの名前を指定します。
- [ Users ] セクションで、
- 特定のSCIM属性と一致する値に基づいてユーザーを構成する場合は、[ Filter by SCIM attribute ] を選択します。
- SCIM Attribute name (SCIM属性名) を指定します。
- [ Value(s) ] ボックスに、属性の値を入力します。
<重要> フィルターは大文字と小文字を区別します。SCIMマッピングで指定する値とIdPの属性値は、大文字小文字を合わせなければなりません。
<参考>
- 属性に複数の値を指定するには、コンマを使用します。
- ボックスで指定された値と一致するユーザーアカウントのみがこのマッピングにマッピングされます。
- それ以外の場合に、条件なしでユーザーをインポートおよび構成する場合は、[ Allow any user ] を選択します。
- 特定のSCIM属性と一致する値に基づいてユーザーを構成する場合は、[ Filter by SCIM attribute ] を選択します。
- [ Next ] をクリックします。
- [ inSync Configuration ] タブで、次の情報を指定します。
- ユーザーがこのSCIMマッピングを使用してマッピングされる場合にユーザーを割り当てるProfile (プロファイル) を選択します。
- ユーザーデータを保存するStorage (ストレージ) を選択します。
- ストレージのQuota per user (ユーザー毎割当量) を指定します。
- Druva inSync に追加されたユーザーにDruva inSync招待メールを送信する場合は、[ Send activation email to newly added users ] チェックボックスをチェックします。
- [ Finish ] をクリックします。
SCIMマッピングが作成されます。複数のマッピングを作成してSCIM属性と値の組み合わせを複数定義し、Druva inSyncでユーザーを分類して、それらに異なるプロファイル、ストレージリージョン、ストレージ割当量を割り当てることができます。
新しいSCIMマッピングまたは既存のSCIMマッピングへの更新は、inSyncによってログに記録され、管理者監査証跡に表示されます。監査証跡は、ガバナンス機能の一つです。詳細については、「管理者向けの監査証跡の閲覧」を参照してください。
(オプション)手順4:SCIMマッピングの優先順位を定義する
IdPがDruva inSyncと連携されると、ユーザーアカウントが自動的に作成されます。複数のSCIMマッピングを定義すると、inSyncはフィルターパラメータに基づいてユーザーアカウントを作成しながら自動的にユーザーを分類し、SCIMマッピングで指定されたプロファイルとストレージの割り当てを開始します。
ユーザーアカウントが定義された基準により複数のSCIMマッピングに該当する場合もあります。このような場合、Druva inSync管理者はマッピングの優先度を定義でき、ユーザーはマッピング順位に応じてインポートされ、そのマッピングで指定されたプロファイルとストレージが割り当てられます。
複数のSCIMマッピングを作成した場合、デフォルトでDruva inSyncは最も古いSCIMマッピングを優先します。一覧の最上位にあるSCIMマッピングの優先順位が最も高く、最下位にあるマッピングの優先順位が最も低くなっています。デフォルトでは、一番最近に定義されたSCIMマッピングに最も低い優先度が割り当てられます。
inSyncには、SCIMマッピングの作成後に優先度を変更するオプションがあります。
例
次の基準を持つ2つのSCIMマッピングを定義したと仮定します。
- 一般ユーザー向けのマッピング
- エンジニアリング部門からすべてのユーザーをインポートします
- それらをGeneral Profile 1というプロファイルに割り当てます
- ユーザーごとのストレージを5GBに割り当てます
- 役員ユーザー向けのマッピング
- エンジニアリング部門の役員ユーザーをインポートします
- それらを役員プロファイルに割り当てます
- ユーザーごとのストレージを50GBに割り当てます
一般ユーザーマッピングは、役員ユーザーマッピングの前に作成されました。
以下は、SCIMマッピングで定義された基準にしたがってinSyncがユーザーをインポートする方法です。
役員ユーザーは両方のマッピングに該当します。一般ユーザーマッピングは役員ユーザーマッピングの前に作成されたため、デフォルトではこれが優先されます。役員ユーザーを含むすべてのユーザーがDruva inSyncにインポートされ、General Profile 1と5 GBのストレージが割り当てられます。
しかし、役員ユーザーに役員プロファイルを割り当て、ストレージの使用量を50 GBにする必要があります。この場合、役員ユーザーマッピングの優先度を最低から最高に変更する必要があります。Druva inSyncは、まず役員ユーザーを分類して役員プロファイルに割り当て、次に他の一般ユーザーを一般プロファイルに割り当てます。
手順
SCIMマッピングの優先度を変更するには、以下を行います。
- inSync管理コンソールのメニューバーで、Manage > Deployments > Users をクリックします。
- [ User Deployment ] ページで、既存のSCIMマッピングの詳細を表示できます。[ Settings ] タブをクリックします。
- [ Mapping Priority ] セクションで、定義された優先順位に従って既存のSCIMのマッピングを参照することができます。 SCIMマッピングの優先度を変更するには、[ Edit ] をクリックします。
- すべてのSCIMマッピングを一覧表示する [ Mapping Priority for User Import window ] ウィンドウが表示されます。優先度を変更するには、SCIMマッピングを選択します。
- 以下のオプションを適切に使用して、選択したSCIMマッピングの優先順位を変更します。
- Move Up (上に移動) - 優先度を1レベル上げる場合は、このボタンをクリックします。
- Move Down (下に移動) - 優先度を1レベル下げる場合は、このボタンをクリックします。
- Move to Top (最上位に移動) - 優先度を最高に変更する場合は、このボタンをクリックします。
- Move to Bottom (最下位に移動) - 優先度を最低に変更する場合は、このボタンをクリックします。
- [ Save ] をクリックします。
選択したSCIMマッピングの優先度が更新されます。inSyncは、SCIMマッピングの更新された優先度に基づいてユーザーを分類し、プロファイルとストレージに割り当てます。
手順5:IdPを構成してDruva inSyncと連携させユーザーを管理する
Druva inSyncを構成した後、inSync管理者はIdPを構成してDruva inSyncと連携させる必要があります。連携が成功するとIdPのユーザーが作成され、Druva inSyncで自動的に管理されます。
IdPをDruva inSyncと連携させるには、次の手順に従います。
- IdPでカスタムSCIMアプリを作成します。
- Druva inSyncとのAPI統合を有効にします。
- SCIMアプリで、SCIM属性を構成し、IdP属性にマップします。
- ユーザーをSCIMアプリに割り当てます。
OktaをDruva inSyncと連携させるには、SCIMを使用してOkta からユーザーを管理するを参照してください。
Microsoft Azure ADをDruva inSyncと統合するには、「SCIMを使用してMicrosoft Azure Active Directoryからユーザーを管理する」を参照してください。