外部ユーザープロビジョニングの構成
外部ユーザープロビジョニングを有効にすると、SCIM(System for Cross-domain Identity Management)を活用して、単一の ID プロバイダーのデータソースで自動ユーザー管理ができるようになります。
アクセス許可
外部ユーザープロビジョニングは、Diligent One で有効にし、ID プロバイダーで設定する必要があります。組織の外部ユーザープロビジョニングを構成するには、Diligent One のシステム管理者権限を持つユーザーと、ID プロバイダーの管理者権限を持つユーザーが必要です。これらのアクセス許可は、外部ユーザープロビジョニングの設定を調整する必要がある 1 人以上のユーザーが保持できます。通常、これを設定する必要があるのは 1 回のみで、その後はシステム側が実行します。
要件
Diligent One は SCIM 2.0 を介したユーザープロビジョニングをサポートし、1 つのデータソースからの自動ユーザー管理を有効にします。
サポートされる操作
外部ユーザープロビジョニングが有効になると、組織でのユーザーの追加と削除およびユーザープロファイルの更新は、ID プロバイダーから Diligent One に自動的にプッシュされます。
将来的には、グループの割り当てとグループの管理(追加と削除)の操作がサポートされる予定です。
外部ユーザープロビジョニングを有効にしても、Diligent One でユーザーを直接手動で追加および管理する機能は削除されません。外部ユーザープロビジョニングを有効にすると、ユーザー管理のオプションに追加され、ハイブリッドソリューションで両方を使用できるようになります。
明確にするために、Diligent One に排他的に追加されたユーザー(ID プロバイダーとは同期していない)は、Diligent One でのみ管理できます。ID プロバイダーで同期されたユーザーは、ID プロバイダーでのみ管理する必要があります。Diligent One で同期されたユーザーに変更が加えられた場合、その変更は次回の同期で上書きされます。ハイブリッドユーザープロビジョニングのサポートを参照してください。
ハイブリッドユーザープロビジョニングのサポート
ID プロバイダーがすべてのユーザーの単一ソースとして動作し、ユーザー管理を合理化および自動化することが理想的です。ただし、システム内のユーザーを管理するためにハイブリッドソリューションが最適であるというシナリオも依然として存在する場合があります。たとえば、トラブルシューティングやコンサルティングの目的で一時的なアクセスのみを必要とする場合は、ユーザーを ID プロバイダーに追加する必要がない場合があります。
ハイブリッドソリューションでは、Diligent One に排他的に追加されたユーザー(ID プロバイダーとは同期していない)は、Diligent One でのみ管理できます。ID プロバイダーで同期されたユーザーは、ID プロバイダーでのみ管理する必要があります。
重要
次の情報は、組織にとって最適な選択を行い、以下の問題を回避できるように、ハイブリッドソリューションから生じる可能性のある潜在的な問題を認識することを意図しています。
- 現在のところ、Diligent One では、ID プロバイダーによって管理されるユーザーと、Diligent One に手動で追加されたユーザーの間に視覚的な区別はありません。
- Diligent One に手動で追加され、ID プロバイダーと同期していないユーザーは、Diligent One のみに存在し、Diligent One でのみ管理できます。
- ユーザーが既に ID プロバイダーから同期されている場合は、Diligent One でユーザーの更新を管理しないでください。ID プロバイダーと同期しているユーザーが Diligent One で編集された場合、それらの編集内容は、ID プロバイダーからの後続の自動同期によって上書きされます。ID プロバイダーは、ユーザーが同期している場合、プロファイルがデフォルトとする単一の信頼できるソースになります。この場合、変更は ID プロバイダーで行う必要があります。そのようにすると変更は Diligent One にプッシュされます。
- リスクは低いですが、同期されたユーザーを ID プロバイダーから削除する前に Diligent One から削除すると、外部ソースで自動化のエラーが発生する可能性があります。これが発生した場合は、Diligent One を ID プロバイダーと再同期するために、外部ソースで手動のアクションが必要になる可能性があります。これが発生した場合は、サポートまでお問い合わせください。
制限
外部ユーザープロビジョニングは、組織ごとに 1 つの統合に制限されています。
Diligent One で外部ユーザープロビジョニングを有効にする
外部ユーザー プロビジョニングを設定するには、次のものが必要です。
-
Diligent One プラットフォームでの外部ユーザー プロビジョニングの有効化。
-
ID プロバイダーの設定。
Diligent One プラットフォームでの外部ユーザー プロビジョニングの有効化。
Diligent One で外部ユーザープロビジョニングを有効にすると、API キーが生成され、ID プロバイダーに追加すると設定プロセスが完了します。
-
Launchpad ホーム ページ (www.highbond.com) を開きます。
会社において Launchpad で複数のインスタンスを使用している場合は、該当するインスタンスがアクティブであることを確認します。
-
左側のナビゲーションから、[プラットフォームの設定]を選択し、[組織の管理]の下で、[組織]を選択します。
-
表示されるページで、[ユーザー プロビジョニングを管理]を選択します。
[ユーザー プロビジョニング]ページが表示されます。
- [ユーザー プロビジョニング]ページで、[作成]を選択します。
- 表示される[プロビジョニング設定の詳細]サイド パネルで、生成される API キーとベース URL をコピーします。
- 値を安全な場所に保存してから、[プロビジョニング設定の詳細]サイド パネルを閉じます。
注意
セキュリティー上の理由により、API キーにアクセスできるのはこの時だけです。API キーを保存しなかった場合、紛失した場合、または忘れた場合は、新しいキーを生成する必要があります。詳細については、「外部ユーザー プロビジョニングのトークンを更新する」を参照してください。
- パネルを閉じます。
[ユーザー プロビジョニング]ページには、API キーの有効期限が切れるまでの詳細と日数が表示されます。
メモ外部ユーザー プロビジョニングを有効にした後でも、サポートでのトラブルシューティングやコンサルティングなどのシナリオで短期的なアクセスを許可するために、ユーザーを手動で追加および削除することを引き続き選択できます。ただし、同期の問題が発生する可能性があるため、注意深く行う必要があります。詳細については、「ハイブリッド ユーザー プロビジョニングのサポート」を参照してください。
ID プロバイダーの詳細の設定
Diligent One で外部ユーザー プロビジョニングを有効にした後、セットアップを完了するには、ID プロバイダーで構成する必要があります。プロセスはプロバイダーによって異なる場合があるため、特定のセットアップ手順については、ID プロバイダーのドキュメントを参照してください。
SCIM 2.0 をサポートする他の ID プロバイダーもこのソリューションに対応できる可能性がありますが、当社が積極的にテストし、サポートしているのは以下の ID プロバイダーです。
- Microsoft Entra(旧称 Azure Active Directory): Microsoft Entra 向けの外部ユーザープロビジョニングの構成
- Okta:
- SSO および SCIM:Okta(SSO および SCIM)向けの外部ユーザー プロビジョニングの構成
- SCIM のみ:Okta(SCIM のみ)向けの外部ユーザー プロビジョニングの構成
- Ping One:SCIM 接続の作成
- One Login:SCIM アプリの作成(推奨スキーマ:SCIM V2.0 - コアスキーマ)
SCIM 属性マッピング
次の表は、Diligent One 属性が標準 SCIM 属性にどのようにマップされるかを示しています。
コアユーザースキーマ
| SCIM 属性名 | Diligent One 属性名 | ユーザー作成時に必須 |
|---|---|---|
| userName | 電子メールアドレス | はい |
| name.givenName | 名 | はい |
| name.familyName | 姓 | はい |
| title | タイトル | いいえ |
| name.initials | イニシャル | いいえ |
| phoneNumbers(type work).value | 電話番号 | いいえ |
| phoneNumbers(type extension).value | 内線電話番号 | いいえ |
| name.middleName | ミドルネーム | いいえ |
| addresses[type eq "work"].streetAddress | オフィス所在地(1 行目) | いいえ |
| addresses[type eq "work"].streetAddress2 | オフィス所在地(2 行目) | いいえ |
| addresses[type eq "work"].locality | オフィス所在地の市区町村 | いいえ |
| addresses[type eq "work"].region | オフィス所在地の都道府県 | いいえ |
| addresses[type eq "work"].country | オフィス所在地の国 | いいえ |
| addresses[type eq "work"].postalCode | オフィス所在地の郵便番号 | いいえ |
| addresses[type eq "work"].location | オフィスの場所 | いいえ |
| phoneNumbers[type eq "home"].value | 電話番号(代表) | いいえ |
| phoneNumbers(type mobile).value | 携帯電話番号 | いいえ |
| phoneNumbers[type eq "mobile"].value | セカンダリ電子メールアドレス | いいえ |
Policy Manager の拡張機能
ID プロバイダーのユーザーの属性を次の SCIM 属性にマッピングすることにより、SCIM を介して設定できる最大 13 個のオプションのフィールドがあります。
urn:ietf:params:scim:schemas:extension:Diligent:2.0:User:externalField<insert_field_number>Value
期限切れトークンに対応する
トークンの有効期限が近づくと、管理者は 30 日前、5 日前、1 日前にメールを受け取ります。有効期限が切れると、最終的なメールが送信されます。トークンが削除されるか有効期限が切れるまで、メールは続行されます。有効期限が切れると、置き換えられない限り、すべての依存プロセスが失敗します。
外部ユーザープロビジョニングのトークンを更新する
トークンを紛失したり、忘れたり、有効期限が近づいたり、期限切れになったりした場合は、更新する必要があります。同期の問題を回避するには、プロセスを一度に完了するようにしてください。Diligent One プラットフォームで生成するトークンは ID プロバイダーにも実装する必要があるため、IT 部門または管理者と調整してください。
トークンを更新するには、次の手順を実行します。
-
Launchpad ホーム ページ (www.highbond.com) を開きます。
会社において Launchpad で複数のインスタンスを使用している場合は、該当するインスタンスがアクティブであることを確認します。
-
左側のナビゲーションから、[プラットフォームの設定]を選択し、[組織の管理]の下で、[組織]を選択します。
-
表示されるページで、[ユーザー プロビジョニングを管理]を選択します。
[ユーザー プロビジョニング]ページが表示されます。
- [ユーザー プロビジョニング]ページの[API キー]フィールドの隣にある、[新しく生成する]を選択します。
- 表示される[プロビジョニング設定の詳細]サイド パネルで、生成される API キーをコピーします。
- 値を安全な場所に保存してから、[プロビジョニング設定の詳細]サイド パネルを閉じます。
注意
セキュリティー上の理由により、API キーにアクセスできるのはこの時だけです。
- パネルを閉じます。
[ユーザー プロビジョニング]ページには、API キーの有効期限が切れるまでの詳細と日数が表示されます。
-
ID プロバイダーに移動して、次のようにします。
-
ID プロバイダーが新しいトークンを使用していることを確認します。
-
その指示に従ってユーザーの同期を維持してください。
-
-
Diligent One プラットフォームの[ユーザー プロビジョニング]ページで、有効期限が近づいているトークンを削除します。
Diligent One プラットフォームでの外部ユーザー プロビジョニングの無効化
ユーザー プロビジョニングを削除した場合の影響は次のとおりです。
-
既存の API キーは直ちに取り消されます。
-
ユーザー同期が停止します。
-
ユーザー管理は、Diligent One プラットフォームでローカルにのみ利用できます。
外部ユーザー プロビジョニングを無効にして、Diligent One を介してのみユーザーを手動で管理するには、まず ID プロバイダーで外部ユーザー プロビジョニングを無効にする必要があります。無効にする方法は、ID プロバイダーごとに異なります。詳細については、「ID プロバイダーの詳細の設定」を参照してください。
Diligent One で外部ユーザー プロビジョニングを無効にすると、ID プロバイダーからユーザー データを受信しなくなりますが、ID プロバイダーは引き続き通常どおりユーザー データを送信するため、エラーになります。これを回避するには、ID プロバイダーからの外部ユーザープロビジョニングを無効にする必要があります。これには、IT 部門、または ID プロバイダーに対して適切なアクセス許可を持つ担当者との調整が必要になる場合があります。
ID プロバイダーで外部ユーザー プロビジョニングを無効にした後、次のようにします。
-
Launchpad ホーム ページ (www.highbond.com) を開きます。
会社において Launchpad で複数のインスタンスを使用している場合は、該当するインスタンスがアクティブであることを確認します。
-
左側のナビゲーションから、[プラットフォームの設定]を選択し、[組織の管理]の下で、[組織]を選択します。
-
表示されるページで、[ユーザー プロビジョニングを管理]を選択します。
[ユーザー プロビジョニング]ページが表示されます。
-
[ユーザー プロビジョニング]ページで、[削除]を選択します。
-
表示される[ユーザー プロビジョニングを削除]ダイアログ ボックスで、ユーザー プロビジョニングを削除した場合の影響を確認し、[削除]を選択します。
