SCIMを使用したOktaユーザーの管理
概要
本文書では、SCIM 2.0を使用してユーザーを管理するためにOktaをDruva inSyncと連携させる手順を示します。
サポートされているプロビジョニング操作
次のSCIMプロビジョニング操作がサポートされています。
- 個別ユーザーアカウントの作成
- ユーザーアカウントのステータスと情報の更新。現在、以下の情報更新がサポートされています。
- 表示名(名+姓の組み合わせ)の更新
- メールアドレス更新
- ユーザーアカウントステータス更新の変更。ユーザーアカウントステータスのアクティブから非アクティブへの変更、および非アクティブからアクティブへの変更のみ対応しています。
- ユーザーアカウントの非アクティブ化または削除
<重要>
- IdPでユーザーを非アクティブ化または削除すると、Druva inSyncでユーザーアカウントがPreservedになります。
前提条件
- SCIMを使用してユーザーを管理するには、Druva inSyncを設定しておく必要があります。詳細については、SCIMを使用したinSyncユーザー管理の設定を参照してください。
- inSyncでSCIMを設定する際に前回生成したトークンを準備してください。まだ生成していない場合は生成してください。詳細については、SCIMを使用したinSyncユーザー管理の設定を参照してください。
- 管理者としてOktaにログインします。特権管理者であるか、アプリを作成および管理する権限を持つ管理者アカウントを持っている必要があります。
手順
<重要> 次の手順はOktaに特化したものであり、Okta管理コンソールの Classic UI で実行できます。
1.ユーザープロビジョニング用にDruva 2.0アプリを構成
Druvaには、事前に構成されたSCIMアプリ-Okta Administrator Consoleに「Druva 2.0」があります。このアプリを使用して、Druva inSyncでユーザーをすばやく構成し、プロビジョニングを開始します。
同じDruva 2.0アプリを使用して、SCIMとSSOの両方を構成できます。
手順
- Okta開発者コンソールを使用している場合は、Oktaメニューバーの上にあるドロップダウンメニューで [ Classic UI ] を選択します。
- Oktaメニューバーで、[ Applications ] > [ Application ] をクリックします。
- [ Application ] ページで、[ Add Application ] をクリックします。
- [ Add Application ] ページで、Druva 2.0アプリケーションを検索し、[ Add ] をクリックします。
- [ Add Druva 2.0 ] ページで、組織の要件にしたがって [ General Settings ] を設定し、[ Done ] をクリックします。
- Druva 2.0アプリの詳細ページで、[ Sign On ] タブをクリックし、[ Edit ] をクリックします。
注:本文書は、ユーザー管理用にSCIMのみを設定することを前提としています。Druva 2.0アプリを使用してシングルサインオン(SSO)も構成する場合は、「OktaをIdPとして使用してDruva Cloud PlatformのSSOを構成する方法」を参照してください。
- [ Setting ] で下にスクロールし、[ ADVANCED SIGN-ON SETTINGS ] 領域を表示します。
- [ SAML Auth Token ] フィールドに、任意の文字列を入力します。例 - ThisxxIsxxAxxSamplexxString
- [ CREDENTIAL DETAILS ] 領域で、アプリケーションのユーザー名の形式として [ Email ] を選択します。
- [ Save ] をクリックします。
- 次に、[ Provisioning ] タブをクリックします。
- [ Enable API Integration ] チェックボックスをチェックし、API連携を設定します。
- [ API Token ] ボックスに、SCIMベースのユーザー管理用にinSync管理コンソールで生成したトークンを入力します。
- [ Test API Credentials ] をクリックして、連携をテストします。
- テストが成功した場合、[ Save ] をクリックします。
テストは、次のプロビジョニング機能に対して成功を判断します。
- ユーザーの作成
- ユーザー属性の変更
-
次にDruva 2.0アプリを構成してプロビジョニング操作を有効にし、カスタム属性を追加します。詳細については、以下を参照してください。
2. Druva 2.0アプリのプロビジョニング設定を構成
Druva 2.0アプリでサポートされている次のプロビジョニング操作を手動で有効にする必要があります。
- ユーザーの作成
- ユーザー属性の変更
- ユーザーの無効化
Druva 2.0アプリには、Druva inSyncで必須となるデフォルトの基本属性と値が事前設定されています。また、SCIMマッピングで使用する予定のカスタムSCIM属性を追加または定義してDruva inSyncでユーザーを分類することもできます。
userPrincipalName カスタム属性を値にマッピングする必要があります。
<重要>
- userPrincipalNameのカスタム属性が指定されていない場合、displayName 属性値はinSync管理コンソール内のuserPrincipalName属性値が設定されます。
- クラウドアプリをバックアップ対象に構成した場合、Druva inSyncはデフォルトでinSyncユーザーのメールアドレスを使用します。ユーザープリンシパル名(UPN)を使用するようにinSyncを設定できます。詳細については、「クラウドアプリの設定」を参照してください 。
- IdPでマッピングするカスタム属性(userPrincipalName カスタム属性を除く)は、Druva inSyncに保存されません。カスタム属性は、Druva inSync管理コンソールで作成したSCIMマッピングを評価するためにのみ使用されます。
手順
- アプリケーション一覧でSCIMアプリを検索して開きます。
- [ Provisioning ] タブをクリックします。
- 左側のパネルで、[ To App ] タブを選択します。
- 右側のパネルで、[ Edit ] をクリックして、Okta属性を持つSCIMアプリのプロビジョニングを選択します。
- 次のアクションに対して [ Enable ] を選択します。
- Create Users (ユーザーの作成)
- Update User Attributes (ユーザー属性の変更)
- Deactivate Users (ユーザーの無効化)
- [ Save ] をクリックします。
- 次に、[ Attribute Mapping ] セクションが表示されるまで下にスクロールします。Druva inSyncで使用するカスタム属性の値を定義して、ユーザーを分類するためのSCIMマッピングを作成します。
- SCIMアプリ構成の最後の手順は、Druva inSyncで管理するユーザーとグループにSCIMアプリを割り当てることです。詳細については、「SCIMアプリにユーザーを割り当てる」を参照してください。
3.カスタム属性を使用してOKTAからユーザーをプロビジョニング
手順
- アプリケーション一覧でSCIMアプリを検索して開きます。
- [ Provisioning ] タブをクリックします。
- 左側のパネルで、[ To App ] タブを選択します。
- [ Attribute Mapping ] セクションが表示されるまで下にスクロールします。Druva inSyncで使用するカスタム属性の値を定義して、ユーザーを分類するためのSCIMマッピングを作成します。
- [ Go to Profile Editor ] をクリックします。
- [ Profile Editor ] ページの [ Attributes ] セクションで [ Add Attirbute ] をクリックします。
- 次の図に示すように、以下のフィールドに指定される値を入力します。
注:これは、countryCode属性のマッピングを示す例です。必要に応じて、他の属性を選択できます。
- Data Type: 文字列
- Display Name: countryCode
- Variable Name: countryCode
- External Name: countryCode
- External Namespace: urn:ietf:params:scim:schemas:core:2.0:User
- [ Save ] をクリックします。
- [ Profile Editor ] ページの [ Attribute ] セクションで [ Mappings ] をクリックします。
- [ Okta to Druva 2.0 ] タブをクリックします。
- 左側のドロップダウンリストから正しい属性を選択し、手順9で作成したカスタム属性にマッピングします。
- [ Save Mappings ] をクリックします。
- inSync管理コンソールにログインし、Manage > Users > Mappings をクリックします。
- [ New Mapping ] をクリックして新しいマッピングを作成します。
- 新しいマッピングを作成するときは、Oktaの手順9で作成したカスタム属性の正確な表記を [ Attribute name ] フィールドで使用する必要があります。
- [ Value(s) ] フィールドでこの属性の値を設定します。これは、OKTAのSCIMアプリがOKTAユーザーの属性を使用して検証する属性の値です。値が一致する場合、これらのユーザーは下図のようにマッピングで定義されているinSync クラウドのプロファイルにプロビジョニングされます。
- [ Finish ] をクリックします。
4.ユーザーをDruva 2.0アプリに割り当て
Druva 2.0アプリ構成の最後の手順は、Druva inSyncで管理するユーザーとグループにDruva 2.0アプリを割り当てることです。
Druva 2.0アプリをOktaで作成したグループに割り当てて、ユーザーに一括で割り当てることができます。グループ内のすべてのユーザーにはDruva 2.0アプリが自動的に割り当てられ、そのアカウントがDruva inSyncで作成されます。
手順
- アプリケーション一覧でDruva 2.0アプリを検索して開きます。
- [ Assignments ] タブをクリックします。
- Druva 2.0アプリをユーザーに個別に割り当てる場合は、[ Assign ] > [ Assign to People ] をクリックします。
またはDruva 2.0アプリをユーザーを含むグループに割り当てる場合は、[ Assign ] > [ Assign to Group ] をクリックします。 - 必要に応じて、Druva 2.0アプリをユーザーまたはグループに割り当てます。
Druva inSyncでアカウントを管理したいすべてのユーザーにDruva 2.0アプリを割り当ててください。Druva 2.0アプリをユーザーに割り当てると、ユーザーのアカウントがDruva inSyncで自動的に作成され、SCIMマッピングに従って構成されます。
<参考> Druva 2.0アプリを使用してSSOも設定する場合は、How to configure SSO for Druva Cloud Platform using Okta as IdPを参照してください。
次の手順
SCIMを使用して管理されているユーザーアカウントの表示
inSync管理者は、SCIMを使用して作成および管理されたアカウントをinSync管理コンソールで表示できます。
- Manage Users ページ - Manage Usersページには、Druva inSyncで作成および管理されるすべてのユーザーが一覧表示されます。詳細については、「ユーザー管理ページ」を参照してください。
- User Provisioning レポート - このレポートには、SCIMを使用して作成および管理されたユーザーアカウントが一覧表示され、アカウントステータス、プロファイル、ユーザーに割り当てられたストレージなどの情報も表示されます。詳細については、「ユーザープロビジョニングレポート」を参照してください。
SCIMを使用して管理されるユーザーのユーザー名に特殊文字?、*、/、\、<、または>が含まれている場合、それらは自動的に_(下線)に置き換えられます。