SCIM APIについて
SCIMプロビジョニングを使用して、IDプロバイダーからTealiumアカウントにユーザーを同期する方法を学びます。
動作原理
クロスドメインアイデンティティ管理(SCIM)は、クラウドアプリケーション間でユーザーアカウントの作成、更新、削除を自動化し、簡素化するための標準です。
IDプロバイダー(IdP)からTealiumにユーザーを自動的に同期するためにSCIMプロビジョニングを使用します。SCIMはオンボーディング中に適切なアクセス権を持つユーザーを作成し、IDプロバイダーでユーザーがデプロビジョニングされたときにTealiumアクセスを削除することで、一貫したオフボーディングを保証し、不正アクセスを防ぎます。
IdPでSCIMプロビジョニングコネクタを使用するか、SCIM APIを直接呼び出します。
認証
TealiumのSCIM統合は、アプリケーションとの認証に長期間有効なベアラートークンを使用します。ユーザープロビジョニングアプリケーションを構成するときに、このベアラートークンをOAuthベアラートークンとして使用します。
すべてのSCIM API呼び出しは、このベアラートークンで認証されます。
APIキーとベアラートークンは、それを生成したユーザーにリンクされています。必要なTealium権限を持つ専用のサービスユーザーを使用してください。サービスユーザーは、リソースを管理するために使用される人物にリンクされていないユーザーアカウントです。このアプローチは、通常のユーザーアカウントが利用できなくなった場合のアクセス問題を防ぎます。
ベアラートークンを生成するには:
- 専用のサービスユーザーとしてTealiumにログインします。
- APIキーを生成します。
- 次のcURLコマンドを使用して長期間有効なベアラートークンを生成するための長期間有効なトークンエンドポイントを呼び出します。プレースホルダーをアカウント名、プロファイル名、専用ユーザー名、APIキーに置き換えてください:
curl --location 'https://developer.tealiumapis.com/v1/auth-long-lived/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'account={ACCOUNT}' \
--data-urlencode 'profile=main' \
--data-urlencode 'username={USERNAME@EXAMPLE.COM}' \
--data-urlencode 'key={API_KEY}'
トークンは次の例のようになります:
{
"access_token":"eyJhbG...53UHg",
"expires_in":35999,
"refresh_expires_in":0,
"token_type":"Bearer",
"not-before-policy":0,
"scope":"profile email"
}
トークンは90日後に期限切れになります。必要に応じてトークンを再生成してください。
トークンの生成に関する支援が必要な場合や、権限に関する質問がある場合は、Tealiumサポートに連絡してください。
エンドポイントと権限
TealiumのSCIM実装は、次のHTTPメソッドをサポートしています:
| メソッド | 説明 | Tealium権限 |
|---|---|---|
POST |
ユーザーまたはグループを作成します。 | ユーザー管理者またはアカウント管理者 |
GET |
ユーザーの詳細、グループの詳細を取得するか、ユーザーまたはグループのリストを取得します。 | すべてのアカウントユーザー |
PUT |
ユーザーまたはグループを置き換えます。 | ユーザー管理者またはアカウント管理者 |
DELETE |
ユーザーまたはグループを削除します。 | ユーザー管理者またはアカウント管理者 |
PATCH |
ユーザーまたはグループを部分的に更新します。 | ユーザー管理者またはアカウント管理者 |
組み込みグループ
SCIM APIは、Tealiumシステム管理ロールに沿った組み込みグループを公開します。
次の組み込みグループがSCIM /Groupsエンドポイントで利用可能です:
| グループ名 | 説明 |
|---|---|
| Account Admins | 全アカウント管理権限 |
| User Admins | ユーザー管理権限 |
| Privacy Admins | プライバシーおよび同意管理権限 |
| Technical Admins | 技術および統合権限 |
| Profile Admins | プロファイルレベルの管理権限 |
| Standard User | 基本的な読み取り専用アクセス(Account Viewersの別名) |
Standard Userグループは内部のAccount Viewersグループの別名です。両グループは同じUUIDを共有しています。displayName eq "Standard User"でフィルタリングするとこのグループに一致しますが、Account Viewersでフィルタリングすると結果はゼロになります。
継承グループ
特定の管理グループにユーザーを追加すると、継承グループのメンバーシップが自動的に付与されます:
| グループに追加 | 自動的に追加される |
|---|---|
| Account Admins | User Admins, Privacy Admins, Technical Admins, Profile Admins + PIIアクセス |
| User Admins | Technical Admins + PIIアクセス |
| Privacy Admins | User Admins, Technical Admins + PIIアクセス |
| Technical Admins | (なし) |
| Profile Admins | (なし) |
| Standard User | (なし) |
Account Admins、User Admins、またはPrivacy Adminsのメンバーシップは、内部のPIIグループ(PII Admins/PII Viewers)へのメンバーシップを自動的に付与します。セキュリティ上の理由から、これらの内部グループはSCIM APIでは表示されません。
グループ削除の挙動
管理グループからユーザーを削除すると、継承グループからも自動的に削除されます:
- Account Admins:User Admins, Privacy Admins, Technical Admins, Profile Adminsから削除し、PIIアクセスを取り消します
- User Admins:Technical Adminsから削除し、PIIアクセスを取り消します
- Privacy Admins:User Admins, Technical Adminsから削除し、PIIアクセスを取り消します
- Technical Admins:自動削除なし
- Profile Admins:自動削除なし
組み込みグループの保護
組み込みグループには次の制限があります:
- SCIM PATCH操作で名前を変更することはできません。
- SCIM DELETE操作で削除することはできません。
displayNameが組み込みグループと一致するカスタムグループを作成または更新すると、HTTP 400エラーが返されます。
最終更新日 :: 2026年March月18日