SCIMとIDプロバイダーの構成
SCIMをサポートするIDプロバイダーとの構成方法を学びます。
SCIMを使用して自動的に以下を行います:
- ユーザーのプロビジョニングとデプロビジョニング
- ユーザーの表示、作成、削除
- ユーザーの削除(SCIM IDの非アクティブ化)
- ユーザーの再追加(SCIM IDの再アクティブ化)
TealiumでSCIMが有効になっている場合、ユーザーメンバーシップはTealiumとIDプロバイダー間で同期されます。
Tealiumの内部グループSCIM APIは、RFC7644プロトコルの一部を実装しています。
前提条件
- アカウント管理者またはユーザー管理者の権限。
- 長期間有効なベアラートークン。ベアラートークンの生成方法については、認証を参照してください。
IDプロバイダーの構成
以下のIDプロバイダーを構成できます:
- Microsoft Entra ID(旧Azure Active Directory)
他のプロバイダーもTealiumで動作する可能性がありますが、テストされておらず、サポートされていません。支援が必要な場合は、IDプロバイダーに連絡してください。互換性を確認するには、Tealiumサポートに連絡してください。
Microsoft Entra IDの構成
SSO構成中にAzure Active Directory用に作成されたSAMLアプリケーションは、SCIM用に構成する必要があります。
SCIMプロビジョニングは、以下の指示に従って正確に構成する必要があります。構成が間違っていると、ユーザープロビジョニングとサインインに問題が発生します。ステップに関する問題や質問がある場合は、Tealiumサポートに連絡してください。
Microsoft Entra IDでSCIMを構成するには:
TealiumをMicrosoft Entra IDに追加
- Azure Portalにアクセスします。
- Microsoft Entra ID > Enterprise applicationsに移動します。
- + New applicationをクリックし、Create your own applicationをクリックします。
- Name(例:Tealium)を入力し、Integrate any other application you don’t find in the galleryを選択します。
- Createをクリックします。
SCIMプロビジョニングの構成
- アプリでProvisioningタブをクリックし、Get startedをクリックします。
- Provisioning ModeをAutomaticに構成します。
- Admin Credentialsの下で、次の値を入力します:
- Tenant URLフィールドにTealiumのSCIM APIエンドポイントURLを入力します:
https://developer.tealiumapis.com/v1/auth-long-lived/token - Secret TokenフィールドにTealiumからのSCIMベアラートークンを入力します。
- Tenant URLフィールドにTealiumのSCIM APIエンドポイントURLを入力します:
- Test Connectionをクリックします。成功メッセージが表示されます。
- Saveをクリックします。
ユーザー割り当ての構成
SCIMグループプロビジョニングはEarly Accessでは現在サポートされていません。
- Provisioningをクリックします。
- Enabledトグルが
Yesに構成されていることを確認します。 - すべてのTarget Object Actionsが有効になっていることを確認します。
- Attribute mappingをクリックし、Microsoft Entra IDとTealium間の属性マッピングを構成します。詳細については、Microsoft: Customize user provisioning attribute-mappings for SaaS applications in Microsoft Entra IDを参照してください。
TealiumがMicrosoft Entra IDを通じてSCIMで認証するために必要な属性マッピングは、次の表にリストされています:
| Microsoft Entra IDのソース属性 | customappssoのターゲット属性 |
マッチングの優先順位 |
|---|---|---|
userPrincipalName |
userName |
1 |
Switch([IsSoftDeleted], , "False", "True", "True", "False") * |
active |
|
displayName |
displayName |
|
givenName |
name.GivenName |
|
surname |
name.familyName |
|
mailNickname |
externalId |
* これは直接のマッピングではなく、式のタイプです。Mapping typeリストからExpressionを選択します。
MicrosoftがAzure Active DirectoryからEntra IDの命名スキームに移行する際、ユーザーインターフェースに不整合が見られることがあります。問題が発生した場合は、Tealiumサポートに連絡してください。
各属性マッピングには次のものが含まれます:
customappsso属性はターゲット属性に対応します。- Microsoft Entra ID属性はソース属性に対応します。
各属性について、次のステップを実行します:
- 既存の属性を編集するか、新しい属性を追加します。
- 必要なソースとターゲットの属性マッピングをリストから選択します。
- Okをクリックします。
- Saveをクリックします。
SAML構成が推奨されるSAML構成と異なる場合は、マッピング属性を選択してそれに応じて変更します。externalIdターゲット属性にマッピングするソース属性は、SAMLのmailNicknameで使用される属性と一致する必要があります。
表にリストされていないマッピングを使用する場合は、Microsoft Entra IDのデフォルトを使用します。必要な属性のリストについては、Microsoft: Develop and plan provisioning for a SCIM endpoint in Microsoft Entra IDを参照してください。
ユーザーの割り当て
- Users and groupsに移動します。
- + Add user/groupをクリックします。
- 同期したいユーザーまたはグループを選択します。
- Assignをクリックします。
最終構成を行い、プロビジョニングを開始
次の構成を行います:
- (オプション)Send an email notification when a failure occursチェックボックスを選択します。
- (オプション)Prevent accidental deletionチェックボックスを選択します。
- 変更がすべて保存されていることを確認するためにSaveをクリックします。
- Provisioningに移動し、Start provisioningをクリックします。
プロビジョニングは通常数分以内に開始されますが、最初の同期には最大40分かかる場合があります。
要件
- Okta Lifecycle Management製品を使用する必要があります。この製品レベルは、OktaでSCIMを使用するために必要です。
- Okta構成ノートに記載されているように構成されたOktaのSAMLアプリケーション。
- OktaのSAML構成が構成手順と正確に一致していること、特に
NameIDの構成。
OktaでSCIMを構成するには、以下の手順を使用します:
- Oktaにサインインします。
- 右上隅にある管理者をクリックします。このボタンは管理者エリアからは見えません。
- アプリケーションタブの下でアプリカタログを閲覧をクリックします。
- Tealiumアプリケーションを選択します。
- Tealiumアプリケーションの概要ページで追加をクリックします。
- アプリケーションの可視性の下で、両方のチェックボックスを選択します。
- アプリケーションの追加を完了するために完了をクリックします。
- プロビジョニングタブの下でAPI統合の構成をクリックします。
- API統合を有効にするをクリックします。
- 基本URLの下に、Tealium SCIM構成ページのSCIM APIエンドポイントURLからコピーしたURLを貼り付けます:
https://api.tealiumiq.com/scim/v2 - APIトークンの下に、Tealium SCIM構成ページのあなたのSCIMトークンからコピーしたSCIMベアラートークンを貼り付けます。
- 構成を確認するには、API認証情報をテストするをクリックします。
- 基本URLの下に、Tealium SCIM構成ページのSCIM APIエンドポイントURLからコピーしたURLを貼り付けます:
- 保存をクリックします。
- アプリへをクリックします。
- 編集をクリックします。
- ユーザーの作成とユーザーの無効化の両方のチェックボックスを選択します。
- 保存をクリックします。
- 割り当てタブをクリックし、ユーザーを割り当てます。割り当てられたユーザーはOktaのTealiumグループで作成および管理されます。
ユーザーアクセス
同期プロセス中、すべての新規ユーザーは:
- Tealiumアカウントを受け取ります。
- 招待メールでIDプロバイダーグループへの歓迎を受けます。
- 確認済みドメインでメール確認をスキップすることができます。
プロビジョニング中:
- プライマリとセカンダリのメールアドレスがTealiumユーザーアカウントの存在を確認する際に考慮されます。
- 重複するユーザー名は、ユーザーを作成する際に接尾辞
1を追加することで処理されます。たとえば、test_userが既に存在する場合はtest_user1が使用されます。test_user1が既に存在する場合、Tealiumは未使用のユーザー名を見つけるために接尾辞を増やします。4回試しても未使用のユーザー名が見つからない場合は、ランダムな文字列がユーザー名に添付されます。
アクセスの削除
IDプロバイダーでユーザーを削除または無効化して、そのアクセスを削除します。
IDプロバイダーが構成されたスケジュールに基づいて同期を実行した後、ユーザーのメンバーシップは取り消され、アクセスが失われます。
IDプロバイダーでユーザーを削除または無効化しても、Tealiumユーザーアカウントは削除されません。Tealiumユーザーアカウントは無効化され、IDプロバイダーにユーザーを再追加することで再活性化できます。
アクセスの再活性化
SCIMを通じてユーザーが削除または無効化された後、そのユーザーをSCIM IDプロバイダーに追加することで再活性化します。
IDプロバイダーが構成されたスケジュールに基づいて同期を実行した後、ユーザーのSCIM IDが再活性化されます。
最終更新日 :: 2025年October月29日