SCIMとIDプロバイダーの構成
SCIMをサポートするIDプロバイダーとの構成方法を学びます。
SCIMを使用して自動的に以下を行います:
- ユーザーのプロビジョニングとデプロビジョニング
- ユーザーの表示、作成、削除
- ユーザーの削除(SCIM IDの非アクティブ化)
- ユーザーの再追加(SCIM IDの再アクティブ化)
- ユーザーとグループの更新
- ユーザーの更新
- グループの表示、作成、更新、削除
TealiumでSCIMが有効になっている場合、ユーザーメンバーシップはTealiumとIDプロバイダー間で同期されます。
Tealiumの内部グループSCIM APIは、RFC7644プロトコルの一部を実装しています。
前提条件
- アカウント管理者またはユーザー管理者の権限。
- 長期間有効なベアラートークン。ベアラートークンの生成方法については、認証を参照してください。
IDプロバイダーの構成
以下のIDプロバイダーのいずれかを構成できます:
- Microsoft Entra ID(旧Azure Active Directory)
このプロバイダーとの互換性を保証できます。ただし、他のIdPでは追加の構成や調整が必要になる場合があります。さらなるガイダンスについては、IDプロバイダーおよびTealiumサポートに連絡して互換性を確認してください。
Microsoft Entra IDの構成
SSO構成中にAzure Active Directory用に作成されたSAMLアプリケーションは、SCIM用に構成する必要があります。
SCIMプロビジョニングは、以下の指示に従って正確に構成する必要があります。構成が誤っていると、ユーザープロビジョニングおよびサインインに問題が発生します。ステップに関して問題や質問がある場合は、Tealiumサポートに連絡してください。
Microsoft Entra IDでSCIMを構成するには:
TealiumをMicrosoft Entra IDに追加
- Azure Portalにアクセスします。
- Microsoft Entra ID > Enterprise applicationsに移動します。
- + New applicationをクリックし、Create your own applicationをクリックします。
- Name(例:Tealium)を入力し、Integrate any other application you don’t find in the galleryを選択します。
- Createをクリックします。
SCIMプロビジョニングの構成
- アプリでProvisioningタブをクリックし、Connect your applicationをクリックします。
- Admin Credentialsの下で、次の値を入力します:
- Tenant URLフィールドには、TealiumからのSCIM APIエンドポイントURLを入力します:
https://developer.tealiumapis.com/scim/v2?aadOptscim062020 - Secret Tokenフィールドには、TealiumからのSCIMベアラートークンを入力します。
- Tenant URLフィールドには、TealiumからのSCIM APIエンドポイントURLを入力します:
- Test Connectionをクリックします。成功メッセージが表示されます。
- Createをクリックします。
- Get Startedをクリックし、その後Start provisioningをクリックします。
ユーザー割り当ての構成
SCIMグループプロビジョニングは現在Early Accessではサポートされていません。
- Provisioningをクリックします。
- Provisioning Statusを
ONに構成します。 - Mappingsセクションを展開します。
- 各マッピングをクリックし、すべてのTarget Object Actionsが有効になっていることを確認します。
- Attribute mappingをクリックし、Microsoft Entra IDとTealium間の属性マッピングを構成します。詳細については、Microsoft: Customize user provisioning attribute-mappings for SaaS applications in Microsoft Entra IDを参照してください。
以下の表は、TealiumがMicrosoft Entra IDを介してSCIMで認証するために構成する必要がある属性マッピングをリストしています。他のすべてのマッピングを削除し、次のマッピングのみが残るようにします:
| Microsoft Entra IDのソース属性 | customappssoのターゲット属性 |
マッチングの優先順位 |
|---|---|---|
userPrincipalName |
userName |
1 |
Switch([IsSoftDeleted], , "False", "True", "True", "False") * |
active |
|
displayName |
displayName |
|
givenName |
name.GivenName |
|
surname |
name.familyName |
|
mailNickname |
externalId |
* これは直接のマッピングではなく、式タイプです。Mapping typeリストからExpressionを選択します。
MicrosoftがAzure Active DirectoryからEntra IDの命名スキームに移行する際、ユーザーインターフェースに不整合が生じることがあります。問題が発生した場合は、Tealiumサポートに連絡してください。
各属性マッピングには以下が含まれます:
customappsso属性はターゲット属性に対応します。- Microsoft Entra ID属性はソース属性に対応します。
各属性について、次のステップを使用します:
- 既存の属性を編集するか、新しい属性を追加します。
- 必要なソースとターゲットの属性マッピングをリストから選択します。
- Okをクリックします。
- Saveをクリックします。
推奨されるSAML構成と異なるSAML構成を使用している場合は、マッピング属性を選択してそれに応じて変更します。externalIdターゲット属性にマッピングするソース属性は、SAMLのmailNicknameで使用される属性と一致する必要があります。
表にリストされていないマッピングを使用する場合は、Microsoft Entra IDのデフォルトを使用します。必要な属性のリストについては、Microsoft: Develop and plan provisioning for a SCIM endpoint in Microsoft Entra IDを参照してください。
グループの割り当て
- Provision Microsoft Entra ID Groupsを選択します。
- Attribute Mappingページで、Provisioning Statusトグルを
ONに構成します。 - Saveをクリックします。
ユーザーの割り当て
- Users and groupsに移動します。
- + Add user/groupをクリックします。
- 同期したいユーザーまたはグループを選択します。
- Assignをクリックします。
最終構成の構成とプロビジョニングの開始
次の構成を構成します:
- (オプション)Send an email notification when a failure occursチェックボックスを選択します。
- (オプション)Prevent accidental deletionチェックボックスを選択します。
- 変更がすべて保存されていることを確認するためにSaveをクリックします。
- Provisioningに移動し、Start provisioningをクリックします。
プロビジョニングは通常数分以内に開始されますが、最初の同期には最大40分かかる場合があります。
プロビジョニングの構成
- プロビジョニング タブの下で、To App をクリックします。
- プロビジョニング to App セクションで、編集 をクリックします。
- ユーザーの作成、ユーザー属性の更新、ユーザーの無効化 のための 有効 チェックボックスを選択します。
- 保存 をクリックします。
属性マッピングの更新
- プロビジョニング > 構成 の下で、To App をクリックします。
- 属性マッピング セクションまでスクロールダウンし、
givenNameとfamilyName以外のすべてを削除します。 - 不要な属性のマッピングを、行の隣にある x をクリックして削除します。
- プロビジョニング > 構成 の下で、To Okta をクリックします。
givenNameとfamilyName以外のすべてを、各行のxをクリックして削除します。- プロビジョニング タブの 構成 の下で、To App をクリックします。
- 属性マッピング セクションで、プロファイルエディターに移動 をクリックします。
givenNameとfamilyName以外のすべての属性を、各行のxをクリックして削除します。
ユーザーアクセス
同期プロセス中、すべての新規ユーザーは:
- Tealium アカウントを受け取ります。
- 招待メールでアイデンティティプロバイダーグループへの歓迎を受けます。
- 検証済みドメインでメール確認をスキップできます。
プロビジョニング中:
- プライマリとセカンダリのメールアドレスが Tealium ユーザーアカウントの存在を確認する際に考慮されます。
- 重複するユーザー名は、ユーザーを作成する際に接尾辞
1を追加することで処理されます。例えば、test_userが既に存在する場合、test_user1が使用されます。test_user1が既に存在する場合、Tealium は未使用のユーザー名を見つけるために接尾辞を増やします。4回試しても未使用のユーザー名が見つからない場合、ランダムな文字列がユーザー名に添付されます。
アクセスの削除
アイデンティティプロバイダーでユーザーを削除または無効化すると、そのアクセスが削除されます。
アイデンティティプロバイダーが構成されたスケジュールに基づいて同期を実行した後、ユーザーのメンバーシップが取り消され、アクセスが失われます。
アイデンティティプロバイダーでユーザーを削除または無効化しても、Tealium ユーザーアカウントは削除されません。Tealium ユーザーアカウントは無効化され、アイデンティティプロバイダーにユーザーを再追加することで再活性化できます。
アクセスの再活性化
SCIM を通じてユーザーが削除または無効化された後、そのユーザーを SCIM アイデンティティプロバイダーに追加することで再活性化します。
アイデンティティプロバイダーが構成されたスケジュールに基づいて同期を実行した後、ユーザーの SCIM アイデンティティが再活性化され、グループメンバーシップが復元されます。
最終更新日 :: 2025年December月17日