SCIMとIDプロバイダーの構成
SCIMをサポートするIDプロバイダーとの構成方法を学びます。
SCIM APIを使用して自動的に以下の操作を行います:
- ユーザーのプロビジョニングとデプロビジョニング
- ユーザーの表示、作成、削除
- ユーザーの削除(SCIM IDの非アクティブ化)
- ユーザーの再追加(SCIM IDの再アクティブ化)
- ユーザーとグループの更新
- ユーザーの更新
- グループの表示、作成、更新、削除
TealiumでSCIMが有効になると、TealiumとIDプロバイダー間でユーザーメンバーシップが同期されます。
前提条件
- アカウント管理者またはユーザー管理者の権限。
- 長期間有効なベアラートークン。ベアラートークンの生成方法については、認証を参照してください。
IDプロバイダーの構成
以下のIDプロバイダーを構成できます:
- Microsoft Entra ID(旧Azure Active Directory)
- Okta
これらのプロバイダーは完全に互換性があります。ただし、他のIdPでは追加の構成や調整が必要になる場合があります。詳細なガイダンスについては、IDプロバイダーおよびTealiumサポートに連絡して互換性を確認してください。
Microsoft Entra IDの構成
SSO構成中にAzure Active Directory用に作成されたSAMLアプリケーションは、SCIM用に構成する必要があります。
SCIMプロビジョニングは、以下の指示に従って正確に構成する必要があります。構成が誤っていると、ユーザープロビジョニングやサインインに問題が発生します。手順に関して問題や質問がある場合は、Tealiumサポートに連絡してください。
Microsoft Entra IDでSCIMを構成するには:
TealiumをMicrosoft Entra IDに追加
- Azure Portalにアクセスします。
- Microsoft Entra ID > Enterprise applicationsに移動します。
- + New applicationをクリックし、Create your own applicationをクリックします。
- Name(例:Tealium)を入力し、Integrate any other application you don’t find in the galleryを選択します。
- Createをクリックします。
SCIMプロビジョニングの構成
- アプリでProvisioningタブをクリックし、Connect your applicationをクリックします。
- Admin Credentialsの下で、次の値を入力します:
- Tenant URLフィールドに、TealiumからのSCIM APIエンドポイントURLを入力します:
https://developer.tealiumapis.com/scim/v2?aadOptscim062020。aadOptscim062020フラグは、Microsoft Entra IDのグループ管理を特に有効にします。 - Secret Tokenフィールドに、TealiumからのSCIMベアラートークンを入力します。
- Tenant URLフィールドに、TealiumからのSCIM APIエンドポイントURLを入力します:
- Test Connectionをクリックします。成功メッセージが表示されます。
- Createをクリックします。
- Get Startedをクリックし、その後Start provisioningをクリックします。
ユーザー割り当ての構成
SCIMグループプロビジョニングは現在Early Accessではサポートされていません。
- Provisioningをクリックします。
- Provisioning Statusを
ONに構成します。 - Mappingsセクションを展開します。
- 各マッピングをクリックし、すべてのTarget Object Actionsが有効になっていることを確認します。
- Attribute mappingをクリックし、Microsoft Entra IDとTealium間の属性マッピングを構成します。詳細については、Microsoft: Customize user provisioning attribute-mappings for SaaS applications in Microsoft Entra IDを参照してください。
次の表は、TealiumがMicrosoft Entra IDを介してSCIMで認証するために構成する必要がある属性マッピングをリストしています。他のすべてのマッピングを削除し、次のマッピングのみが残るようにします:
| Microsoft Entra IDソース属性 | customappssoターゲット属性 |
マッチング優先度 |
|---|---|---|
userPrincipalName |
userName |
1 |
Switch([IsSoftDeleted], , "False", "True", "True", "False") * |
active |
|
displayName |
displayName |
|
givenName |
name.GivenName |
|
surname |
name.familyName |
|
mailNickname |
externalId |
* これは直接のマッピングではなく、式タイプです。Mapping typeリストからExpressionを選択します。
MicrosoftがAzure Active DirectoryからEntra IDの命名スキームに移行する間、ユーザーインターフェースに不整合が見られるかもしれません。問題がある場合は、Tealiumサポートに連絡してください。
各属性マッピングには次のものが含まれます:
customappsso属性はターゲット属性に対応します。- Microsoft Entra ID属性はソース属性に対応します。
各属性について、次の手順を使用します:
- 既存の属性を編集するか、新しい属性を追加します。
- リストから必要なソースとターゲットの属性マッピングを選択します。
- Okをクリックします。
- Saveをクリックします。
推奨されるSAML構成と異なるSAML構成を使用している場合は、マッピング属性を選択してそれに応じて変更します。externalIdターゲット属性にマッピングするソース属性は、SAMLのmailNicknameで使用される属性と一致する必要があります。
表にリストされていないマッピングを使用する場合は、Microsoft Entra IDのデフォルトを使用します。必要な属性のリストについては、Microsoft: Develop and plan provisioning for a SCIM endpoint in Microsoft Entra IDを参照してください。
グループの割り当て
- Provision Microsoft Entra ID Groupsを選択します。
- Attribute Mappingページで、Provisioning Statusトグルを
ONに構成します。 - Saveをクリックします。
ユーザーの割り当て
- Users and groupsに移動します。
- + Add user/groupをクリックします。
- 同期したいユーザーまたはグループを選択します。
- Assignをクリックします。
最終構成の構成とプロビジョニングの開始
次の構成を構成します:
- (オプション)Send an email notification when a failure occursチェックボックスを選択します。
- (オプション)Prevent accidental deletionチェックボックスを選択します。
- 変更がすべて保存されていることを確認するためにSaveをクリックします。
- Provisioningに移動し、Start provisioningをクリックします。
プロビジョニングは通常数分以内に開始されますが、最初の同期には最大40分かかる場合があります。
Oktaの構成
OktaでSCIMを構成するには:
- Oktaにログインします。
- Applications > Applicationsに移動します。
- Browse App Catalogをクリックします。
- **SCIM 2.0 Test App (OAuth Bearer Token)**を選択し、Add Integrationをクリックします。
- NextおよびDoneをクリックして、General SettingsおよびSign-On Optionsページをスキップします。
Tealium SCIM APIに接続
- SCIM Application画面で、Provisioningタブをクリックします。
- Configure API integrationをクリックします。
- Enable API integrationチェックボックスを有効にします。
- 次の情報を入力します:
- Base URLの下に、Tealium SCIM構成ページのSCIM API endpoint URLからコピーしたURLを貼り付けます:
https://developer.tealiumapis.com/scim/v2/ - OAuth Bearer Tokenの下に、Tealium SCIM構成ページのYour SCIM tokenからコピーしたSCIMベアラートークンを貼り付けます。
- 構成を確認するために、Test API Credentialsをクリックします。
- Base URLの下に、Tealium SCIM構成ページのSCIM API endpoint URLからコピーしたURLを貼り付けます:
- Saveをクリックします。
プロビジョニング構成の構成
- Provisioningタブの下で、Settingsまでスクロールダウンし、To Appをクリックします。
- Provisioning to Appセクションで、Editをクリックします。
- Create Users、Update User Attributes、Deactivate UsersのためのEnableチェックボックスを有効にします。
- Saveをクリックします。
ユーザーアクセス
同期プロセス中、すべての新規ユーザーはTealiumアカウントを受け取り、招待メールでアイデンティティプロバイダーグループへの歓迎を受けます。確認済みドメインを使用することで、メール確認をスキップすることができます。
プロビジョニング中には、主要なメールと副次的なメールの両方がTealiumユーザーアカウントの存在を確認する際に考慮されます。重複するユーザー名は、ユーザーを作成する際に接尾辞1を追加することで処理されます。例えば、test_userが既に存在する場合、test_user1が使用されます。test_user1が既に存在する場合、Tealiumは未使用のユーザー名を見つけるために接尾辞を増やします。4回試しても未使用のユーザー名が見つからない場合は、ランダムな文字列がユーザー名に添付されます。
次回以降の訪問時には、新規および既存のユーザーは、アイデンティティプロバイダーのダッシュボードを通じて、または直接リンクを訪れることでアイデンティティプロバイダーグループにアクセスできます。
アクセスの削除
アイデンティティプロバイダーでユーザーを削除または非アクティブ化して、そのアクセスを削除します。
アイデンティティプロバイダーが構成されたスケジュールに基づいて同期を実行した後、アイデンティティプロバイダーはユーザーのメンバーシップを取り消し、彼らはアクセスを失います。
アイデンティティプロバイダーでユーザーを削除または非アクティブ化しても、Tealiumユーザーアカウントは削除されません。Tealiumユーザーアカウントは非アクティブ化され、アイデンティティプロバイダーにユーザーを再追加することで再アクティブ化できます。
アクセスの再アクティブ化
SCIMを通じてユーザーが削除または非アクティブ化された後、そのユーザーをSCIMアイデンティティプロバイダーに追加することで再アクティブ化します。
アイデンティティプロバイダーが構成されたスケジュールに基づいて同期を実行した後、アイデンティティプロバイダーはユーザーのSCIMアイデンティティを再アクティブ化し、彼らのグループメンバーシップを復元します。
最終更新日 :: 2026年January月14日