SCIM

共有

この記事は役に立ちましたか?

最終更新:

Microsoft Entra ID向けのSCIMの設定方法

この記事では、Microsoft Entra ID(旧、Azure Active Directory)を使用してSCIMを構成する方法について説明します。Microsoft Entra ID向けにSCIMを設定すると、Microsoft Entra IDを使用してKSATコンソールでユーザーとグループを追加および管理できます。

この記事では、サードパーティソフトウェアの操作について説明します。Microsoft Entra IDでのユーザープロビジョニングで問題が発生した場合は、Microsoft Entra IDにアクセスして具体的な手順を確認することをお勧めします。サポートが必要な場合には、KnowBe4のサポートチーム KnowBe4のサポートチーム(新しいウィンドウでリンクが開きます)にいつでもお問い合わせください。

注:SCIMを使用してユーザーとグループを同期するには、Microsoft Entraのサブスクリプションが必要です。Microsoft Entraからユーザーとグループを同期する方法の詳細については、Microsoftの「アプリケーションへのユーザーとグループの割り当てを管理する」「アプリケーションへのユーザーとグループの割り当てを管理する」(新しいウィンドウでリンクが開きます)の記事を参照してください。

SCIMの設定

このセクションでは、Microsoft EntraでSCIMを設定する方法について説明します。なお、KSATコンソールで設定した後で、これらの手順を構成する必要があります。KSATコンソールでSCIMを設定する方法の詳細については、「SCIM設定ガイド」を参照してください。

Microsoft EntraでSCIMを設定するには、以下のステップに従って操作します。

  1. Azureポータル(https://portal.azure.com/ https://portal.azure.com/(新しいウィンドウでリンクが開きます))にログインします。

  2. Azureポータルのホームページから[Microsoft Entra IDの管理]タイルの[表示]ボタンを選択します。

  3. [+ 追加]ドロップダウンメニューから[エンタープライズ アプリケーション]を選択します。

  4. Microsoft Entra ギャラリーの検索バーに「KnowBe4」と入力し、検索結果を絞り込みます。

  5. [KnowBe4 Security Awareness Training(KnowBe4セキュリティ意識向上トレーニング)]タイルを選択します。

  6. 画面の右側に表示されるポップアップウィンドウで[作成]を選択します。

  7. [作成]をクリックすると、作成したアプリケーションの[概要]ページに移動します。

    1. [概要]ページが表示されない場合は、[エンタープライズ アプリケーション]リストからアプリケーションを開く必要があります。左側のパネルで[すべてのサービス]をクリックし、表示されるアコーディオンメニューから[最近使った項目]を選択し、[エンタープライズ アプリケーション]をクリックして、エンタープライズ アプリケーションを見つけることができます。

  8. [作業開始]ヘッダーの下にある[ユーザーアカウントのプロビジョニング][作業開始]を選択します。

  9. [+ 新規設定]を選択します。

  10. 次に、[アカウント設定]ページから情報を入力する必要があります。この情報を見つけることができる場所の詳細については、「SCIM設定ガイド」を参照してください。[テナントURL]フィールドに、テナントURLを入力します。[シークレット トークン]フィールドに、SCIMトークンを入力します。

    重要:この機能は、現在オンデマンドプロビジョニングでは動作しません。

  11. 情報を入力したら、[テスト接続]ボタンを選択します。このボタンをクリックすると、入力した内容が正しいかどうかを確認できます。接続に成功すると、成功したことを示すバナーが画面の右上隅に表示されます。

  12. 画面上部にある[保存]ボタンを選択します。

Microsoft Entraと同期するユーザーとグループの定義

注:このセクションでは、同期する必要がある特定のユーザーとグループを定義する操作方法について説明します。Microsoft Entra IDの全てのユーザーとグループを同期する場合は、この記事の「FAQ」のセクションを参照してください。

上記の「SCIMの構成」セクションのステップを完了したら、同期するユーザとグループを決定できます。この構成は、IDプロバイダ(IdP)のユーザーとグループを同期するために必要です。

重要:ネストされているグループは、SCIMおよびMicrosoft Entra IDのプロビジョニングでは現在サポートされていません。詳細については、Microsoftの「Microsoft Entra ID でのアプリケーションのプロビジョニングのしくみ」 「Microsoft Entra ID でのアプリケーションのプロビジョニングのしくみ」(新しいウィンドウでリンクが開きます)の記事の「スコープ」のセクションを参照してください。

Microsoft Entra IDと同期するユーザーとグループを定義するには、以下のステップに従って操作します。

  1. [Microsoft Entra ID]から、[エンタープライズアプリケーション]に移動します。
  2. KnowBe4との接続のために作成したアプリケーションを選択します。

  3. [ユーザーとグループの割り当て]タイルから[ユーザーとグループの割り当て]を選択します。

  4. [ユーザーを追加] / [グループを追加]を選択して、同期するユーザーまたはグループを選択します。

  5. [None Selected(選択されていません)]を選択して、同期の対象とするユーザーまたはグループを検索します。ユーザーまたはグループを追加するには、ユーザーまたはグループの名前をクリックします。これらのユーザーまたはグループが、[Selected(選択済み)]サイドパネルに表示されます。

    注:最初に設定するときは、数人のユーザーだけを追加することをお勧めします。少数のユーザーから始めることで、全てのユーザーとグループを追加する前に、接続が正しく機能することを確認できます。

  6. [選択済み]のカテゴリに入れるユーザーとグループを追加したら、[選択]をクリックします。
  7. [割り当て]を選択します。

これで、選択したユーザーとグループが表に表示されます。

同期の開始

SCIMを構成し、同期するユーザーとグループを追加したら、同期を開始する必要があります。一度同期を開始すると、40分ごとにMicrosoft Entra IDのユーザーとグループの変更が自動的にチェックされ、変更があった場合は同期が開始されます。

注:お使いのSCIMプロビジョニングアプリケーションに数千人を超えるユーザーがいる場合、最初の同期ではすべてのユーザーが含まれない可能性があります。しかし、アカウントのユーザーは段階的に同期されます。同期レポート間でわずかな変更しか確認されないようになるまでは、ユーザーのプロビジョニングを[テストモード]で実行することをお勧めします。わずかな変更しか確認されないようになるまで待機すると、KSATコンソールでユーザーがアーカイブされるのを防止できます。また、グループメンバーシップを同期する場合には、ユーザーを同期するよりも長い時間がかかる場合があります。アカウントの規模が大きい場合、KSATコンソールで定期的に同期が行われます。

同期を開始するには、以下のステップに従って操作します。

  1. [Microsoft Entra ID]から、[エンタープライズアプリケーション]に移動します。
  2. KnowBe4との接続のために作成したアプリケーションを選択します。
  3. ページの左側にあるメニューから、[プロビジョニング]を選択します。

  4. [プロビジョニングの開始]をクリックします。

すぐに同期が開始されます。一度同期を開始すると、40分ごとにMicrosoft Entra IDの変更がチェックされ、変更があった場合は同期が開始されます。

重要:ユーザーが正しく同期されたことを確認したら、KSATの[アカウント設定][テストモード]をオフにする必要があります。[テストモード]をオフにすると、次回同期するときにユーザーの追加とアーカイブが可能になります。テストモードの詳細については、「SCIM設定ガイド」を参照してください。

これらの同期のステータスや、同期に関するエラーや追加情報を確認するには、KSATコンソールで[ユーザープロビジョニング]に移動します。

高度な設定オプション

Entra IDとSCIMの同期を有効にすると、KnowBe4コンソールの既存のユーザーデータはSCIMアイデンティティプロバイダーによって上書きされます。続行する前に、テストモードでキャンペーンをプレビューし、Entra IDでグループとユーザーのステータスが正しく設定されていることを確認してください。このステップにより、意図しないデータ損失を防ぐことができます。同期対象に含まれないユーザーは自動的にアーカイブされ、そのユーザーのデータは保持され、過去の記録も維持されます。

重要:メールエイリアスは、SCIMのプロビジョニングでは現在サポートされていません。

Microsoft Entraの高度な設定オプションの詳細については、以下のサブセクションを参照してください。

デフォルトマッピング

デフォルトのフィールドマッピングを以下に示します。

Azure Active Directoryのデフォルトの属性 KSAT属性 KSATフィールド
userPrincipalName userName メール
givenName name.givenName フィールド名
surname name.familyName
employeeId urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber 従業員番号
jobTitle title 役職
department urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department 部署名
manager

urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value

注:マネージャー情報を同期するには、該当するマネージャーが同期の対象に含まれている必要があります。これらのマネージャーを同期の対象に追加するには、上記の「Microsoft Entraと同期するユーザーとグループの定義」セクションを参照してください。
 マネージャーのメールアドレス
マネージャーのEntra IDプロフィールのdisplayName

displayName

注:ユーザーのdisplayNameは、そのユーザーのマネージャーのEntra IDプロフィールから提供されます。ユーザーのdisplayNameは、他の属性を使用して同期されるため、KSATのユーザープロフィールには表示されません。しかし、直接レポートのユーザープロフィールに表示されます。
 マネージャーの氏名
注:[Division][Organization]フィールドは、デフォルトではマッピングされません。これらのフィールドを使用する予定がある場合、マッピングを追加する必要があります。以下の「カスタムユーザーフィールドの属性マッピングの追加」セクションの操作手順に従って、これらの属性を追加できます。
Azure Active Directoryのデフォルトの属性 KSAT属性 KSATフィールド
該当なし 該当なし タイムゾーン
該当なし 該当なし 内線番号
該当なし 該当なし コメント
該当なし 該当なし 従業員の入社日

デフォルトマッピングの変更

デフォルトマッピングを変更することで、Microsoft EntraとKSATコンソール間で同期するユーザー情報をカスタマイズできます。

デフォルトマッピングを変更するには、以下のステップに従って操作します。

  1. [Microsoft Entra ID]から、[エンタープライズアプリケーション]に移動します。
  2. KnowBe4との接続のために作成したアプリケーションを選択します。

  3. ページの左側にあるメニューから、[プロビジョニング]を選択します。

  4. [プロビジョニング]ウィンドウで、[プロビジョニングの管理]の下にある[属性マッピングの編集]をクリックします。

  5. [マッピング]ドロップダウン矢印をクリックして、[マッピング]タブを展開します。

  6. [Azure Active Directory ユーザーのプロビジョニング]をクリックします。

  7. [属性マッピング]セクションが表示されるまで、下方にスクロールします。このセクションには、マッピングされている全属性のリストが表示されます。[Azure Active Directory属性]列には、Microsoft Entraの属性名が表示されます。[KnowBe4属性]列には、この属性のSCIMの標準名が表示されます。

  8. 編集する属性を選択します。
  9. 横にある[属性の編集]ペインで、この属性をカスタマイズします。カスタマイズオプションの詳細については、以下のリストを参照してください。
    1. [マッピング タイプ]:ドロップダウンメニューから[直接]を選択します。

    2. [ソース属性]:このカスタムフィールドにマッピングするAzureフィールドを選択します。

      注:Microsoft Entra IDにSSOを使用している場合、この属性はSSOの[ソース属性]と同じでなければなりません。デフォルトでは、SSOの[ソース属性]user.userprincipalnameになります。詳細については、「Azure Active Directory(AD)を使用してSSO/SAMLを設定する方法」の記事の「Azure ADへのKnowBe4アプリケーションの追加」のセクションを参照してください。
    3. [既定値]:このフィールドはオプションです。空白にしておくことをお勧めします。
    4. [対象の属性]:選択したAzureフィールドにマッピングするカスタムフィールドを選択します。
    5. [この属性を使用してオブジェクトを照合する]:[いいえ]を選択することをお勧めします。

    6. [このマッピングを適用する][常時]を選択することをお勧めします。

      注:同期しない属性がある場合は、その属性の横にある[削除]ボタンをクリックして、同期を無効にできます。このアクションでは、この属性とKSATコンソールで対応するフィールド間とのつながりだけが削除されます。Azureからデータが削除されることはありません。

  10. 必要な変更が完了したら、[OK]をクリックします。

    注:[ソース属性]フィールドのみ変更することをお勧めします。属性の他の設定を変更すると、Microsoft EntraとKSATコンソールとの接続が切れる場合があります。

カスタムユーザーフィールドの属性マッピングの追加

また、6つのカスタムフィールドを追加するオプションもあります。これらのフィールドはデフォルトではマッピングされませんが、以下の手順でMicrosoft Entraに追加できます。

  1. [Microsoft Entra ID]から、[エンタープライズアプリケーション]に移動します。
  2. KnowBe4との接続のために作成したアプリケーションを選択します。

  3. ページの左側にあるメニューから、[プロビジョニング]を選択します。

  4. [プロビジョニング]ウィンドウで、[プロビジョニングの管理]の下にある[属性マッピングの編集]を選択します。

  5. [マッピング]ドロップダウン矢印をクリックして、[マッピング]タブを展開します。

  6. [Azure Active Directory ユーザーのプロビジョニング]をクリックします。
  7. 表の下にある[新しいマッピングの追加]をクリックします。
  8. [属性の編集]ウィンドウで、使用する[ソース属性]を選択します。

  9. 次に、使用する[対象の属性]を選択します。KnowBe4は、以下のカスタムフィールドを提供しています。

    注:サポートされている言語のフォーマットに必ず従ってください。特に大文字と小文字の区別に注意してください。
    KSATフィールド 対象の属性
    カスタムフィールド1 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1
    カスタムフィールド2 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2
    カスタムフィールド3 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3
    カスタムフィールド4 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4
    カスタム日付1

    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1

    重要:このフィールドの日付は、ISO 8601フォーマットで指定する必要があります。このフォーマットは、YYYY-MM-DD “T” hh:mm:ssZとなります。例えば、2022-04-04T04:23:30Zのように指定します。
    カスタム日付2

    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2

    重要:このフィールドの日付は、ISO 8601フォーマットで指定する必要があります。このフォーマットは、YYYY-MM-DD “T” hh:mm:ssZとなります。例えば、2022-04-04T04:23:30Zのように指定します。
    部門 urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division
    組織名 urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
    不在期間の終了 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:outOfOfficeEnd
    フィッシング用言語 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:phishingLanguage
    トレーニング言語 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:trainingLanguage
    ユーザータイプ urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:userRole
    デフォルトのMicrosoft Entra ID属性 KSAT属性 KSATフィールド
    physicalDeliveryOfficeName addresses[type eq "work"].formatted ロケーション
    telephoneNumber phoneNumbers[type eq "work"].value Phone Number
    mobile phoneNumbers[type eq "mobile"].value 携帯電話番号
    デフォルトでスキーマに表示される属性:
    KSATフィールド 対象の属性
    会社名 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:companyName
    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:country
    従業員タイプ userType
    ホスト名 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:hostname
    メールのニックネーム urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:mailNickName
    SAMアカウント名 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:onPremisesSamAccountName
    セキュリティID urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:onPremisesSecurityIdentifier
    ユーザープリンシパル名 urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:userPrincipalName
    最後のパスワード変更

    urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:lastPasswordChangeDateTime

    重要:[最後のパスワード変更]フィールドの対象の属性タイプは[DateTime]に設定する必要があります。
    SecurityCoachでユーザーをマッピングするための以下のカスタムフィールドも利用できます。
  10. その他の設定は、デフォルト設定のままにしておくことをお勧めします。
  11. ステップ7で追加したすべてのカスタムフィールドについて、ステップ8を繰り返します。
  12. 画面上部の[保存]をクリックすると、変更内容が保存されます。

これらのカスタムフィールドが、KSATコンソールと同期されるようになります。

FAQ

Microsoft Entra IDでSCIMを使用する場合のよくある質問を以下にまとめました。

同期はどのぐらいの頻度で行われますか?

Microsoft Entra IDのユーザーとグループの更新は40分ごとにチェックされます。変更があった場合、自動的に同期が開始されます。ただし、KSATの[アカウント設定][SCIM設定]セクションにある[今すぐ同期を強制]ボタンをクリックすれば、いつでも強制的に同期できます。

デフォルトマッピングに戻すにはどうしたらよいですか?

以下の手順で、いつでもデフォルトマッピングに戻すことができます。

  1. [エンタープライズ アプリケーション]に移動します。
  2. KnowBe4との接続のために作成したアプリケーションを選択します。
  3. ページの左側にあるメニューから、[プロビジョニング]を選択します。
  4. [プロビジョニングの管理]の下にある[属性マッピングの編集]をクリックします。
  5. [マッピング]ドロップダウン矢印をクリックして、[マッピング]ドロップダウンメニューを展開します。
  6. [既定のマッピングを復元する]を選択します。
  7. 画面上部の[保存]をクリックします。

すべてのユーザーとグループを同期するどうしますか?

Microsoft Entra IDの全ユーザーとグループを同期する場合は、以下のステップに従って操作します。

  1. SCIMと連携させるために設定したアプリケーションに移動します。
  2. [プロビジョニング]に移動します。
  3. 画面上部の[プロビジョニングの編集]を選択するか、[プロビジョニングの管理]の下にある[スコープフィルターの追加]を選択します。
  4. [設定]ドロップダウンメニューをクリックします。
  5. [スコープ]ドロップダウンメニューで[すべてのユーザーとグループの同期]を選択します。
  6. ページの上部にある[保存]をクリックします。

グループ別にアプリケーションにユーザーを割り当てる機能がありませんが、KSATコンソールと同期するユーザーを制限するにはどうすればよいですか?

KSATコンソールと同期するユーザーを制限するために、スコープフィルタを設定できます。スコープフィルタの作成についての詳細は、Microsoftの「スコープフィルターを使用してプロビジョニングするユーザーまたはグループのスコープを設定する」 「スコープフィルターを使用してプロビジョニングするユーザーまたはグループのスコープを設定する」(新しいウィンドウでリンクが開きます)の記事を参照してください。

この記事は有用でしたか?

13人中11人がこの記事が役に立ったと言っています

お探しの情報が見つかりませんか?

サポートへの問い合わせ