SCIM

共有

この記事は役に立ちましたか?

最終更新:

SCIM設定ガイド

KnowBe4のSCIM(System for Cross-domain Identity Management)インテグレーションを使用すると、SCIM IDプロバイダ(IdP)のデータを使用して、KSATコンソールでユーザーを管理できます。このインテグレーションにより、SCIM IdPから送信されたデータに基づいて、KSATコンソールでユーザーが自動的に追加、変更、アーカイブされます。このインテグレーションを設定し、ユーザーをインポートすると、すべてのユーザーを一元的に管理できます。

重要なポイント:管理者は、その権限が削除されない限りアーカイブされません。

また、Active Directory統合(ADI)を使用して、ユーザーを追加、変更、アーカイブすることもできます。ADIの詳細については、「Active Directory統合(ADI)設定ガイド」を参照してください。

SCIMの仕組み

SCIMでは、IdPとKSATコンソールでユーザー情報を同期して、ユーザーを一元的に管理できます。

SCIMを有効にする前に、ユーザー情報を直接編集するか、CSVファイルでユーザー情報を更新して、KSATコンソールでユーザーを管理できます。SCIMを有効にして、最初の同期を実行すると、ユーザーはSCIM IdPを通じて管理され、変更がKSATコンソールと同期されるようになります。

これは一方向の同期であり、KSATコンソールで行った変更は、SCIM IdPとは同期されません。KSATコンソールで変更を加えた場合、その変更によりSCIM IdPのデータが上書きされます。ユーザーを同期するときにSCIM IdPで見つからないユーザーは、KSATコンソールでアーカイブされます。

前提条件

SCIMを設定する前に、以下の要件を満たしていることを確認してください。

  • KSATの[アカウント設定]にある[SCIMトークン][テナントURL]にアクセスできる。これらの項目の場所の詳細は、以下の「SCIMの設定」のセクションを参照してください。
  • SCIM IdPからKSATコンソールに対して同期するユーザーを把握している。
注:特定のユーザーをSCIMで管理できないようにすることができます。特定のユーザーをSCIMで管理できないようにするには、SCIMで管理しないユーザーのリストをCSVファイルで作成します。これらのユーザーについては、CSVファイルの[Provisioning Managed]の列に「false」と入力します。

SCIMの設定

SCIM IdPとKSATコンソールを連携させるには、KSATの[アカウント設定]のいくつかの設定を有効にする必要があります。次に、SCIM IdPで設定を完了させる必要があります。

注:ADIからSCIMに切り替える場合には、KnowBe4のSCIMインテグレーションはエイリアスメールアドレスをサポートしないことに注意してください。[テストモード]を無効にして同期を実行すると、エイリアスメールアドレスは取り除かれます。

KSATコンソールでSCIMを設定するには、以下のステップに従って操作します。

  1. KSATコンソールで、ページの右上隅にあるメールアドレスをクリックします。
  2. [アカウント設定]を選択します。
  3. [ユーザー管理] > [ユーザープロビジョニング]に移動します。

  4. [ユーザープロビジョニング(ユーザー同期)を有効化]チェックボックスを選択します。このチェックボックスを選択すると、追加の設定が表示されます。

  5. [SCIM]をクリックします。

  6. [SCIMトークンの生成]をクリックします。このボタンをクリックすると、新しいブラウザウィンドウにユーザーのSCIMトークンが表示されます。このSCIMトークンを必ずコピーして、後で簡単にアクセスできる場所に保存してください。

    重要:ブラウザウィンドウを閉じると、SCIMトークンを再度表示することはできなくなります。このSCIMトークンを生成すると、[SCIMトークンの生成]ボタンが[SCIMトークンの再生成]に変わります。詳細については、この記事の「SCIMの設定」のセクションを参照してください。
  7. [OK]をクリックしてウィンドウを閉じます。

  8. [テナントURL]をコピーして、後で簡単にアクセスできる場所に保存します。

    重要:続行する前に、ステップ7で[テナントURL][SCIMトークン]を正しく保存していることを確認します。IdPでSCIMを設定するときには、この2つのデータが必要になります。

  9. [テストモード]チェックボックスが選択されていることを確認します。

    重要:SCIMインテグレーションの設定が完了し、同期が正常に実行されるまでは、[テストモード]チェックボックスを選択したままにしておくことをお勧めします。[テストモード]では、現在の設定でSCIMを有効にしたときに何が起こるかを記載したレポートが生成されます。[テストモード]を有効にしている場合、KSATコンソールは何も変更されません。同期を有効にする準備ができたら、[アカウント設定]から[テストモード]を無効にできます。ADIからSCIMに切り替えるときに、[アカウント設定]を保存すると、[テストモード]が自動的に有効になります。

  10. [アカウント設定]ページの下部にある[変更を保存]をクリックします。

サポートされるプロバイダ

これでKSATコンソールでSCIMが有効になりました。SCIM IdPで連携を完了することができます。

注:このガイドで説明している操作指示は、KnowBe4がサポートする唯一の設定です。これらの記事で説明されている手順に従わない場合、ユーザーのプロビジョニングで問題が発生する可能性があります。

使用するIdPでSCIMを設定するには、以下のいずれかの記事を参照してください。

SCIM設定

SCIMインテグレーションを有効にすると、[アカウント設定][SCIM]セクションに3つのボタンが表示されます。これらのボタンをクリックして、SCIMトークンを再生成や失効したり、強制的に同期したりできます。これらのボタンの詳細については、以下のスクリーンショットとリストを参照してください。

  1. [SCIMトークンの再生成]:このボタンをクリックして、新しいSCIMトークンを生成します。このトークンは一度しか表示されませんので、ブラウザウィンドウを閉じる前に必ず保存してください。新しいトークンを指定するまで、IdPとKSATコンソール間のリンクは無効になります。
  2. [SCIMトークンの失効]:このボタンをクリックして、現在のSCIMトークンを失効させます。現在このトークンを使用しているIdPは、KSATコンソールにリンクされなくなります。
  3. [今すぐ同期を強制]:このボタンをクリックすると、IdPで変更がない場合であっても、SCIMとの同期をいつでも手動で強制できます。

FAQ

以下に、SCIMに関するよくある質問を記載します。

KnowBe4はどのような属性をサポートしますか?

サポートする属性は、ユーザーが利用しているIdPによって異なります。サポートされるフィールドの詳細については、使用しているIDプロバイダのドキュメントを参照してください。

SCIMとADIを同時に使用することはできますか?

いいえ、SCIMとADIを同時に使用することはできません。ただし、これらの2つのタイプの接続は、[アカウント設定]で切り替えることができます。ADIとSCIMを切り替えて使用する場合、[テストモード]が無効のときに同期を開始すると、データが上書きされたり、失われたりすることがありますので注意してください。

KnowBe4は、SCIM経由でユーザーを同期できる頻度を制限していますか?

KnowBe4は、サービスキューの過負荷になることを避けるため、15分間のグローバル同期制限を設けています。新しい同期リクエストがあった場合、15分以内に開始された同期が存在する場合、新しい同期はスキップされます。

この記事は有用でしたか?

37人中29人がこの記事が役に立ったと言っています

お探しの情報が見つかりませんか?

サポートへの問い合わせ