SCIM

共有

この記事は役に立ちましたか?

最終更新:

Okta向けのSCIMの設定

この記事では、Okta向けにSCIMを設定する方法について説明します。Okta向けにSCIMを設定すると、KSATコンソールでOktaを使用してユーザーを管理できます。KSATコンソールでSCIMを有効にする方法については、「SCIM設定ガイド」を参照してください。

以下では、サードパーティソフトウェアの操作について説明します。Oktaでのユーザープロビジョニングで問題が発生した場合は、Oktaにアクセスして具体的な手順を確認することをお勧めします。KnowBe4のサポートチームに問い合わせることも可能です。

重要:一部のお客様は、カスタムアプリでSCIMプロビジョニングを有効にできない場合があります。このオプションが表示されない場合は、Oktaのサポートに問い合わせて、お客様の組織でこの機能を有効にするように依頼する必要があります。この詳細については、Oktaの「アプリインテグレーションへのSCIMプロビジョニングの追加(英語)」の記事を参照してください。

SCIMの設定

KSATの[アカウント設定]でSCIMを設定したら、Okta向けにSCIMを設定できます。Okta向けにSCIMを設定するには、以下のステップに従って操作します。

  1. Oktaポータルにログインし、[Applications(アプリケーション)]に移動します。
  2. [Browse App Catalog(アプリカタログを参照)]をクリックします。
  3. 検索バーに「KnowBe4」と入力し、検索結果を絞り込みます。

  4. KnowBe4アプリを選択します。

    注:すでにOktaにKnowBe4 SAMLアプリがある場合、このアプリはそのままにしておくことができます。
    重要:既存のカスタムSAMLアプリにプロビジョニング機能を追加する場合、既存のユーザーをプロビジョニングしなければ、これらのユーザーはログインできません。既存のユーザーをプロビジョニングするには、アプリの設定ページの[Assignments(割り当て)]タブで、[Provision User(ユーザーのプロビジョニング)]を選択する必要があります。

  5. [Add Integration(インテグレーションの追加)]をクリックします。

  6. 必要に応じて、名前と設定を編集します。
  7. [Done(完了)]をクリックします。
  8. [Provisioning(プロビジョニング)]タブに移動します。
  9. [Integration(インテグレーション)]サブセクションをクリックします。
  10. [Configure API Integration(APIインテグレーションの設定)]をクリックします。
  11. [Enable API integration(APIインテグレーションを有効化)]チェックボックスを選択します。
  12. KSATの[アカウント設定][テナントURL][SCIM connector base URL(SCIMコネクタのベースURL)]フィールドに貼り付けます。テナントURLにアクセスする方法については、「SCIM設定ガイド」「SCIMの設定」セクションを参照してください。
  13. KSATの[アカウント設定]にある[SCIMトークン][API Token(APIトークン)]フィールドに貼り付けます。SCIMトークンにアクセスする方法については、「SCIM設定ガイド」「SCIMの設定」セクションを参照してください。
  14. [Test API Credentials(API資格情報をテスト)]をクリックします。

  15. テストが成功したか失敗したかを通知するメッセージが表示されます。テストに成功した場合は、 [保存]をクリックします。

  16. これでKSATコンソールとOktaの連携が完了しましたので、Oktaで管理するサービスを有効にできます。操作を開始するには、[To App(アプリへ)]を選択します。
  17. [Provisioning to App(アプリへプロビジョニング)]セクションの右側にある[Edit(編集)]をクリックします。

  18. 使用する各機能について[Enable(有効)]チェックボックスを選択します。

重要:Oktaでグループをプッシュする場合、SCIMの運用に影響を与える可能性のある制限があります。この問題の詳細については、Oktaの「グループプッシュ」の記事を参照してください。
重要:現在、[Sync Password(パスワード同期)]はサポートしていません。この設定で送信されたパスワードは一切受け付けられません。

Okta向けにSCIMを設定した後には、同期するユーザーを選択する必要があります。Oktaによるユーザーの同期の詳細については、以下の「同期するユーザーとグループの定義」のセクションを参照してください。

同期するユーザーとグループの定義

上記の「SCIMの設定」セクションのステップに従って操作したら、同期するユーザーとグループを定義できます。IDプロバイダとユーザーを同期する前に、同期するユーザーとグループを定義する必要があります。

重要:グループを定義する場合、追加のグループ属性は空白にしておくことをお勧めします。これらの追加属性を空白にすると、空白の属性の代わりに個々のユーザーの属性が同期されます。以下のフィールドについてグループ属性を設定した場合、グループ属性は割り当てられたユーザーの個々のユーザー属性よりも優先されます。

同期するユーザーとグループを定義するには、以下のステップに従って操作します。

  1. Oktaポータルにログインし、[Applications(アプリケーション)]に移動します。
  2. 上記の「SCIMの設定」セクションで作成したSCIMアプリケーションをクリックします。
  3. [Assignments(割り当て)]タブに移動します。
  4. [Assign(割り当て)]をクリックして、同期するユーザーを選択します。

  5. ユーザーまたはグループのどちらを定義するかに応じて、[Assign to People(ユーザーに割り当て)]または[Assign to Groups(グループに割り当て)]のいずれかをクリックします。

  6. 同期するユーザーまたはグループを選択します。

    重要:最初に同期するときには、少数のユーザーまたはグループのみを選択することをお勧めします。
  7. [割り当て]をクリックします。
  8. 同期するユーザーまたはグループを選択したら、[Save and Go Back(保存して戻る)]をクリックします。
  9. 必要なユーザーとグループをすべて追加したら、[Done(完了)]をクリックします。

選択したユーザーとグループが、[Assignments(割り当て)]タブに表示されます。

同期するグループの定義

OktaとKSATコンソールでグループとグループメンバーシップを同期するには、以下のステップに従って操作します。

重要:現在、[Push now(今すぐプッシュ)]ボタンはサポートされていません。このボタンをクリックすると、選択したグループからメンバーシップが削除される場合があります。
  1. Oktaポータルにログインし、[Applications(アプリケーション)]に移動します。
  2. 上記の「SCIMの設定」セクションで作成したSCIMアプリケーションをクリックします。

  3. [Push Groups(グループをプッシュ)]をクリックします。

    重要:Oktaは、割り当てとグループプッシュに同じグループを使用することをサポートしていません。詳細については、Oktaの「グループプッシュについて」の記事を参照してください。
  4. 表示されるドロップダウンメニューから[Find groups by name(名前でグループを検索)]を選択します。
  5. 同期するグループ名を入力します。
  6. [保存]をクリックします。

属性マッピング

Oktaでは、OktaとKSATコンソール間で同期するフィールドを定義するために、カスタマイズ可能な属性マッピングが用意されています。これらの属性マッピングを変更するには、以下のステップに従って操作します。

  1. Oktaポータルにログインし、[Applications(アプリケーション)]に移動します。
  2. 上記の「SCIMの設定」セクションで作成したSCIMアプリケーションをクリックします。
  3. [Provisioning(プロビジョニング)]をクリックします。
  4. [To App(アプリへ)]をクリックします。
  5. [Attribute Mappings(属性マッピング)]セクションが表示されるまで、下方にスクロールします。
  6. 必要な変更を行います。
  7. 変更内容を保存します。
重要:予期せぬエラーが発生する場合に備えて、KSATコンソールの[ユーザー]タブからCSVファイルをダウンロードし、すべてのユーザーフィールド情報をバックアップしておくことをお勧めします。

KSATコンソールのフィールドには、Oktaから更新しないフィールドがある場合があります。ベストプラクティスとして、これらの属性マッピングを削除し、Oktaと同期するときにこれらのフィールドが更新されないようにすることをお勧めします。

Oktaの属性マッピングの詳細については、以下の「高度な設定オプション」のセクションを参照してください。

同期の開始

SCIMを設定し、同期するユーザーとグループを追加したら、同期を開始できます。最初の同期を開始した後は、Oktaとの同期は自動的に行われます。また、Oktaのポータルからいつでも手動で強制的に同期を開始できます。

注:お使いのSCIMプロビジョニングアプリケーションに数千人を超えるユーザーがいる場合、最初の同期ではすべてのユーザーが含まれない可能性があります。しかし、アカウントのユーザーは段階的に同期されます。同期レポート間で僅かな変更しか確認されないようになるまでは、ユーザーのプロビジョニングを[テストモード]で実行することをお勧めします。わずかな変更しか確認されないようになるまで待機すると、KSATコンソールでユーザーがアーカイブされるのを防止できます。また、グループメンバーシップを同期する場合には、ユーザーを同期するよりも長い時間がかかる場合があります。アカウントの規模が大きい場合、KSATコンソールで定期的に同期が行われます。

同期を開始するには、以下のステップに従って操作します。

  1. Oktaポータルにログインし、[Applications(アプリケーション)]に移動します。
  2. 上記の「SCIMの設定」セクションで作成したSCIMアプリケーションをクリックします。
  3. [Provisioning(プロビジョニング)]をクリックします。

  4. [Force Sync(同期を強制)]をクリックします。

すぐに同期が開始されます。初めて同期した後は、Oktaでユーザー情報が変更されると、自動的に同期されるようになります。

重要:ユーザーが正しく同期されたことを確認したら、KSATの[アカウント設定][テストモード]をオフにする必要があります。[テストモード]をオフにすると、次回同期するときにユーザーの追加とアーカイブが可能になります。テストモードの詳細については、「SCIM設定ガイド」を参照してください。

同期を開始すると、KSATコンソールの[プロビジョニング]タブで同期のステータスを確認し、エラーを把握できます。[プロビジョニング]タブの詳細については、「[プロビジョニング]サブタブガイド」を参照してください。

高度な設定オプション

デフォルトのフィールドマッピングを変更したり、カスタム属性を追加したり、KnowBe4のカスタムフィールドをマッピングしたりして、Oktaの設定をカスタマイズできます。Oktaの設定をカスタマイズする方法の詳細については、以下のサブセクションを参照してください。

重要:[メールエイリアス]は、SCIMのプロビジョニングでは現在サポートされていません。 

デフォルトフィールドマッピングの変更

デフォルトのフィールドマッピングを変更できます。デフォルトのフィールドマッピングを次の表に示します。

KSATフィールド SCIM属性 Oktaのフィールド
メール userName userName
givenName user.firstName
familyName user.lastName
電話番号 primaryPhone user.primaryPhone
場所 formatted user.postalAddress
部門 division user.division
従業員番号 employeeNumber user.employeeNumber
役職 title user.title
組織 Organization user.organization
部署 department user.department
携帯電話番号 mobilePhone user.mobilePhone
マネージャーの表示名 managerDisplayName user.manager
マネージャーのメール managerEmail user.managerId
KSATフィールド Oktaのフィールド SCIM属性
タイムゾーン 該当なし 該当なし
内線番号 該当なし 該当なし
言語 該当なし 該当なし
コメント 該当なし 該当なし
従業員の入社日 該当なし 該当なし

デフォルトのフィールドマッピングを変更するには、以下のステップに従って操作します。

  1. Oktaポータルにログインし、[Applications(アプリケーション)]に移動します。
  2. 上記の「SCIMの設定」セクションで作成したSCIMアプリケーションをクリックします。
  3. [Provisioning(プロビジョニング)]をクリックします。
  4. [To App(アプリへ)]を選択します。
  5. [Attribute Mappings(属性マッピング)]セクションに移動します。

  6. 鉛筆のアイコンをクリックして、新しいOktaフィールドをSCIM属性にマッピングします。

カスタム属性の追加

OktaでKnowBe4がプロビジョニングするアプリケーションに新しい属性を追加するには、以下のステップに従って操作します。

  1. Oktaの管理コンソールにログインします。
  2. [Applications(アプリケーション)]に移動して、上記の「SCIMの設定」セクションで作成したKnowBe4 SCIMアプリケーションを選択します。
  3. [Provisioning(プロビジョニング)]をクリックして、[Mappings(マッピング)]セクションの下にある[Go to Profile Editor(プロファイルエディタに移動)]をクリックします。
  4. [Profile Editor(プロファイルエディタ)]で、[Add Mapping(マッピングの追加)]をクリックします。[Add Attribute(属性を追加)]モーダルが開きます。

  5. 追加する属性マッピングを選択します。KnowBe4は、Oktaで以下に示す追加の属性マッピングを提供しています。

    表示名 変数名 外部のネームスペース
    会社名 companyName urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User
    country urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User
    従業員タイプ userType urn:ietf:params:scim:schemas:core:2.0:User
    ホスト名 hostname urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User
    メールのニックネーム mailNickName urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User
    SAMアカウント名 onPremisesSamAccountName urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User
    セキュリティID onPremisesSecurityIdentifier urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User
    ユーザープリンシパル名 userPrincipalName urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User
    最後のパスワード変更 lastPasswordChangeDateTime urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User

  6. [Add Attribute(属性を追加)]モーダルで属性マッピングを設定するには、以下のスクリーンショットとリストを参照してください。

    1. [Data type(データタイプ)]:属性マッピングの[Data type(データタイプ)]として[String(文字数)]を選択します。
    2. [Display name(表示名)]:属性マッピングの[Display name(表示名)]を入力します。

    3. [変数名]:属性マッピングの[Display name(表示名)]を入力します。この変数は、OktaからKnowBe4のプロビジョニングアプリに送信されます。

      ヒント:[Variable name(変数名)]フィールドに入力すると、[External name(外部名)]フィールドに自動的に入力されます。

    4. [External name(外部名)]:属性マッピングの[Variable name(変数名)]を入力します。[External name(外部名)]フィールドは、[Variable name(変数名)]フィールドと同じである必要があります。

      ヒント:[Variable name(変数名)]フィールドに入力すると、[External name(外部名)]フィールドに自動的に入力されます。

    5. [External namespace(外部のネームスペース)]:属性マッピングの[External namespace(外部のネームスペース)]の値を入力します。

      注:[External namespace(外部のネームスペース)]の値は、この表の値を完全に一致する必要があります。この値はコピー&ペーストすることをお勧めします。
    6. [Save(保存)]:[Save(保存)]をクリックして、新しい属性マッピングを追加します。
  7. [Save Mappings(マッピングを保存)]をクリックして、変更を適用します。
  8. 以下の「カスタムフィールドのマッピング」セクションに従って、新しい属性をマッピングします。

カスタムフィールドのマッピング

また、KSATコンソールと同期するカスタムフィールドをマッピングすることもできます。

これらのフィールドはデフォルトではマッピングされませんが、以下の手順でOktaプラットフォームに追加できます。

  1. Oktaポータルにログインし、[Applications(アプリケーション)]に移動します。
  2. 上記の「SCIMの設定」セクションで作成したSCIMアプリケーションをクリックします。
  3. [Provisioning(プロビジョニング)]をクリックします。
  4. 下方にスクロールして、[Show Unmapped Attributes(マッピングされていない属性を表示)]をクリックします。

  5. 追加する属性の横にある鉛筆アイコンをクリックします。

  6. [Attribute(属性)]の値のドロップダウンメニューから、各カスタムフィールドにマッピングするOkta属性を選択します。

  7. [保存]をクリックします。
注:[カスタム日付]属性を設定するときには、日付にISO 8601フォーマットを使用する必要があります。このフォーマットは、YYYY-MM-DD “T” hh:mm:ssZとなります。例えば、2022-04-04T04:23:30Zのように指定します。

この機能を使用するときにサポートが必要な場合は、KnowBe4のサポートチームにお問い合わせください。

この記事は有用でしたか?

10人中10人がこの記事が役に立ったと言っています

お探しの情報が見つかりませんか?

サポートへの問い合わせ