メインコンテンツまでスキップ
Dummy text to avoid mindtouch from removing the blank div

Druva

SCIMを使用したinSyncユーザー管理の設定

概要

本文書では、Druva inSync管理者がSCIM連携を有効にし、Druva inSyncでユーザーを管理するために実行する必要がある手順を示します。

前提条件

Druva クラウド管理者とinSync クラウド管理者のみが、SCIMを使用してユーザーを管理するようにDruva inSyncを設定できます。

手順

手順1:SCIMを使用してユーザーを管理するようにDruva inSyncを構成

inSync管理者は、inSync管理コンソールでユーザーインポート方法を指定する必要があります。inSync管理コンソールでユーザーを管理するためにSCIMの設定と利用を行うには、次の手順を実行します。

  1. inSync管理コンソールのメニューバーで、Manage > Deployments > Users をクリックします。
  2. [ User Deployment ] ページで [ Use SCIM ] をクリックして、SCIMベースのIdPを使用してユーザーをインポートおよび管理します。
    choose_scim_main.png
  3. 表示される確認ダイアログボックスでメッセージを読み、[ Confirm ] をクリックします

IdPをDruva inSyncと連携するためのトークンを生成するためにリダイレクトされます。

手順2:IdPをDruva inSyncと統合するためのトークンを生成する

inSync クラウド管理者は、ユーザー管理にSCIMを選択した後、Druva inSyncでユーザーを管理するIdPと連携するトークンを生成する必要があります。トークンは、Druva inSyncでIdPを識別および認証するためのキーです。

<重要>

  • API gateway feature is disabled for your account (APIゲートウェイ機能がアカウントで無効) というメッセージが表示された場合Druvaサポート連絡してこの機能をアカウントで有効にしてください。
  • トークンを生成できるのは、Druva クラウド管理者とinSync クラウド管理者だけです。
  • トークンを生成したらすぐにコピーし、保存する必要があります。トークンはinSync管理コンソールに保存されません。 
  • 生成されたトークンは365日間有効です。
  • inSyncクラウド管理者が別のトークンを生成すると、以前のトークンは無効になります。新しいトークンを使用して、既存のSCIMアプリを再構成する必要があります。

手順

トークンを生成するには、以下を行います。

前の手順で、[ User Deployment ] ページの [ Settings ] タブにリダイレクトされた場合は、[ Auth Token for SCIMセクションで [ Generate Token ] をクリックします

または、以下を行います。

  1. inSync管理コンソールのメニューバーで、Manage > Deployments > Users をクリックします。
  2. [ User Deployment ] ページで、[ Settings ] タブをクリックします。
  3. Auth Token for SCIM ] セクションで、[ Generate Token ] をクリックします

Generate_token_fade.png

トークンが生成されます。トークンをコピーして保存します。これを使用して、手順5の後半でIdPとDruva inSyncのAPI連携を有効にします。

手順3:SCIMマッピングを作成する

SCIMマッピングにより、inSync管理者はフィルターパラメーター(IdPで構成されたSCIM属性)を定義してユーザーを自動的に分類し、フィルター基準に一致するユーザーに対して割り当てるプロファイル、ストレージリージョン、ストレージ割当量を定義できます。

inSync管理者は複数のマッピングを作成して、さまざまなSCIM属性と値のペアに基づいてユーザーを分類できます。複数のマッピングを作成した後、管理者はユーザー分類を優先するマッピングの優先順位を指定することもできます。

Druva inSyncは標準のSCIM属性をサポートしています。カスタムSCIM属性をマップし、マッピングを作成してユーザーを分類することもできます。

 

<重要>

  • SCIMマッピングで定義するSCIM属性は、IdPのIdP属性にマップする必要があります。そうでない場合、ユーザーの作成は失敗します。
  • ユーザーがDruva inSyncで作成されたSCIMマッピングに分類または該当しない場合、ユーザーアカウントの作成は失敗します。
  • Druvaは、Allow any user (すべてのユーザーを許可する)」構成でデフォルトマッピングを作成することも推奨しますこのデフォルトマッピングにより、どのマッピングにも分類または分類されないユーザーはすべてデフォルト構成で生成されます。このデフォルトマッピングの優先度は最低に設定すればよいです。
  • SCIMマッピングを作成すると、マッピング名とinSync構成のみを変更できます。ユーザー条件を変更してユーザーをフィルタリングすることはできません。
  • フィルターは大文字と小文字を区別します。SCIMマッピングで指定する値とIdPの属性値は大文字小文字を合わせなければなりません。

はじめに

以下があることを確認してください。

  • プロファイルが作成されていること - プロファイルはユーザーに適用される一連の構成です。プロファイルを使用して、バックアップ対象のデータ元、そのプロファイルに属するすべてのユーザーに自動的に適用される一般的なバックアップ構成パラメーターを定義できます。詳細については、「プロファイルの作成と管理」を参照してください
  • Druva inSyncストレージリージョンが設定されていること。

手順

  1. inSync管理コンソールのメニューバーで、Manage > Deployments > Users をクリックします。
  2. [ User Deployment ] ページの Mappings ] タブで、 [ New Mapping ] をクリックします。
  3. [ Create Mapping ] ウィザードの Mapping Configuration ] タブで、次の情報を指定します。
    1. Mapping Name (マッピング名) - SCIMマッピングの名前を指定します。
    2. [ Users セクションで、
      • 特定のSCIM属性と一致する値に基づいてユーザーを構成する場合は、Filter by SCIM attribute ] を選択します。
        • SCIM Attribute name (SCIM属性名) を指定します。
        • [ Value(s) ] ボックスに、属性の値を入力します。

          <重要> フィルターは大文字と小文字を区別します。SCIMマッピングで指定する値とIdPの属性値は、大文字小文字を合わせなければなりません。

          <参考>
          - 属性に複数の値を指定するには、コンマを使用します。

          - ボックスで指定された値と一致するユーザーアカウントのみがこのマッピングにマッピングされます。

      • それ以外の場合に、条件なしでユーザーをインポートおよび構成する場合は、[ Allow any user ] を選択します
        scim_mapping_1.png
    3. [ Next ] をクリックします。
    4. [ inSync Configuration ] タブで、次の情報を指定します。
      1. ユーザーがこのSCIMマッピングを使用してマッピングされる場合にユーザーを割り当てるProfile (プロファイル) 選択します。
      2. ユーザーデータを保存するStorage (ストレージ) 選択します。
      3. ストレージのQuota per user (ユーザー毎割当量) を指定します。
      4. Druva inSync に追加されたユーザーにDruva inSync招待メールを送信する場合は、[ Send activation email to newly added users ] チェックボックスをチェックします。
        scim_mapping_2.png
    5. Finish ] をクリックします。

SCIMマッピングが作成されます。複数のマッピングを作成してSCIM属性と値の組み合わせを複数定義し、Druva inSyncでユーザーを分類して、それらに異なるプロファイル、ストレージリージョン、ストレージ割当量を割り当てることができます。

新しいSCIMマッピングまたは既存のSCIMマッピングへの更新は、inSyncによってログに記録され、管理者監査証跡に表示されます。監査証跡は、ガバナンス機能の一つです。詳細については、「管理者向けの監査証跡の閲覧」を参照してください。

(オプション)手順4:SCIMマッピングの優先順位を定義する

IdPがDruva inSyncと連携されると、ユーザーアカウントが自動的に作成されます。複数のSCIMマッピングを定義すると、inSyncはフィルターパラメータに基づいてユーザーアカウントを作成しながら自動的にユーザーを分類し、SCIMマッピングで指定されたプロファイルとストレージの割り当てを開始します。

ユーザーアカウントが定義された基準により複数のSCIMマッピングに該当する場合もあります。このような場合、Druva inSync管理者はマッピングの優先度を定義でき、ユーザーはマッピング順位に応じてインポートされ、そのマッピングで指定されたプロファイルとストレージが割り当てられます。

複数のSCIMマッピングを作成した場合、デフォルトでDruva inSyncは最も古いSCIMマッピングを優先します。一覧の最上位にあるSCIMマッピングの優先順位が最も高く、最下位にあるマッピングの優先順位が最も低くなっています。デフォルトでは、一番最近に定義されたSCIMマッピングに最も低い優先度が割り当てられます。

inSyncには、SCIMマッピングの作成後に優先度を変更するオプションがあります。

次の基準を持つ2つのSCIMマッピングを定義したと仮定します。

  • 一般ユーザー向けのマッピング
    • エンジニアリング部門からすべてのユーザーをインポートします
    • それらをGeneral Profile 1というプロファイルに割り当てます
    • ユーザーごとのストレージを5GBに割り当てます
  • 役員ユーザー向けのマッピング
    • エンジニアリング部門の役員ユーザーをインポートします
    • それらを役員プロファイルに割り当てます
    • ユーザーごとのストレージを50GBに割り当てます

一般ユーザーマッピングは、役員ユーザーマッピングの前に作成されました。

以下は、SCIMマッピングで定義された基準にしたがってinSyncがユーザーをインポートする方法です。

役員ユーザーは両方のマッピングに該当します。一般ユーザーマッピングは役員ユーザーマッピングの前に作成されたため、デフォルトではこれが優先されます。役員ユーザーを含むすべてのユーザーがDruva inSyncにインポートされ、General Profile 1と5 GBのストレージが割り当てられます。

しかし、役員ユーザーに役員プロファイルを割り当て、ストレージの使用量を50 GBにする必要があります。この場合、役員ユーザーマッピングの優先度を最低から最高に変更する必要があります。Druva inSyncは、まず役員ユーザーを分類して役員プロファイルに割り当て、次に他の一般ユーザーを一般プロファイルに割り当てます。

手順

SCIMマッピングの優先度を変更するには、以下を行います。

  1. inSync管理コンソールのメニューバーで、Manage > Deployments > Users をクリックします。
  2. User Deployment ] ページで、既存のSCIMマッピングの詳細を表示できます。[ Settings ] タブをクリックします。
  3. Mapping Priority ] セクションで、定義された優先順位に従って既存のSCIMのマッピングを参照することができます。 SCIMマッピングの優先度を変更するには、[ Edit ] をクリックします。
  4.  すべてのSCIMマッピングを一覧表示する [ Mapping Priority for User Import window ] ウィンドウが表示されます。優先度を変更するには、SCIMマッピングを選択します。
  5. 以下のオプションを適切に使用して、選択したSCIMマッピングの優先順位を変更します。
    • Move Up (上に移動)  - 優先度を1レベル上げる場合は、このボタンをクリックします。
    • Move Down (下に移動)  - 優先度を1レベル下げる場合は、このボタンをクリックします。
    • Move to Top (最上位に移動)  - 優先度を最高に変更する場合は、このボタンをクリックします。
    • Move to Bottom (最下位に移動)  - 優先度を最低に変更する場合は、このボタンをクリックします。
      mapping_priority_scim.png
  6. [ Save ] をクリックします。

選択したSCIMマッピングの優先度が更新されます。inSyncは、SCIMマッピングの更新された優先度に基づいてユーザーを分類し、プロファイルとストレージに割り当てます。

手順5:IdPを構成してDruva inSyncと連携させユーザーを管理する

Druva inSyncを構成した後、inSync管理者はIdPを構成してDruva inSyncと連携させる必要があります。連携が成功するとIdPのユーザーが作成され、Druva inSyncで自動的に管理されます。

IdPをDruva inSyncと連携させるには、次の手順に従います。

  1. IdPでカスタムSCIMアプリを作成します。 
  2. Druva inSyncとのAPI統合を有効にします。
  3. SCIMアプリで、SCIM属性を構成し、IdP属性にマップします。
  4. ユーザーをSCIMアプリに割り当てます。

OktaをDruva inSyncと連携させるには、SCIMを使用してOkta からユーザー管理するを参照してください。

Microsoft Azure ADをDruva inSyncと統合するには、「SCIMを使用してMicrosoft Azure Active Directoryからユーザー管理する」を参照してください

  • この記事は役に立ちましたか?