PendoでSCIMを設定する

最終更新日:

クロスドメインのアイデンティティ管理システム(SCIM)は、集中的なユーザー管理プラットフォームとして単一のIDプロバイダー(IdP)を使用して、企業内の識別されたユーザーを企業内のすべてのソフトウェアツールに接続するために使用されます。PendoでSCIMを設定すると、ユーザーを個別に追加しなくても、IdPで設定されたグループのアクセスやユーザー権限を制御できます。

注: SCIMは、プレミアムのお客様向けまたはアドオンとして利用できます。詳細については、Pendoの担当者にお問い合わせください。

Pendo組織管理者は、Pendo組織をSCIMプロバイダーに接続し、その組織内のPendoサブスクリプションのSCIMユーザー管理を有効にすることができます。これらのユーザーは、セキュリティアサーションマークアップ言語(SAML)のシングルサインオン(SSO)を使ってPendoにアクセスできます。

SCIMプロビジョニングは、カスタムの役割や権限がある場合はそれと組み合わせて使用することで、各グループに付与されるアクセスを詳細に制御することができます。特定のサブスクリプションとそのサブスクリプション内のグループに付与されたアクセスに対してSCIMを有効にすることで、企業全体のPendoアクセスを正確に制御することができます。

頭字語と頭文字略語(イニシャリズム)の用語集

 

用語

説明

IdP

IDプロバイダー

エンドユーザーのアカウントを管理するサービスで、LDAPやアクティブディレクトリ(Active Directory)などのユーザーディレクトリに似ています。SAMLレスポンスをサービスプロバイダーに送信することでエンドユーザーを認証します。IDプロバイダーには、Google、Azure、Oktaなどがあります。

SAML

セキュリティアサーションマークアップ言語

XMLベースの規格であり、IDプロバイダー(IdP)とサービスプロバイダーとの間で認証や承認に関するデータを交換するために使用されます。SAML規格は、SSOソリューションに固有の問題を解決します。詳しくは、WikipediaのSAMLの記事をご覧ください。

SCIM

クロスドメインのアイデンティティ管理用システム

アプリケーションレベルのプロビジョニングプロトコルを使用して、複数のドメインでユーザーID情報を安全に管理するためのオープンスタンダード。SCIMは、ユーザーとグループを表す定義済みのスキーマと、それらのユーザーとグループのリソースに対して操作を実行する方法を提供します。

SSO

シングルサインオン

ユーザーはIdPに一度サインインするだけで、都度サインインせずに複数のシステムにアクセスできるようになるシステム。ユーザーは一度のサインインで、ファイアウォールの内側とクラウドにあるすべてのウェブアプリケーションにアクセスできます。これにより、アクセス管理がSAML管理者に一元化されます。

 

PendoのSCIMを使用したSAML

IdPには、SAMLまたはSCIMを使用したSAMLを構成するための個別のプロセスがあります。IdPがマーケットプレイスにインテグレーションとしてPendo SCIMを持っていない場合、SCIMを使用したSAMLを使用するIdPプラットフォームでカスタムアプリのインテグレーションを作成する必要があります。新しいアプリのインテグレーションによって、既存のSAMLのみのインテグレーションが置き換えられます。

このプロセスは、Pendoサポートチームではなく、Pendoの担当者が直接サポートして、Pendoが主導します。IdPでアプリの設定を完了するために必要な情報を提供し、新しいIdPアプリのインテグレーションとメタデータファイルで動作するようにPendoを構成します。

PendoサブスクリプションでSCIMが有効になると、Pendo内でチームメイトを手動で追加または削除することができなくなります。

権限

SCIMの設定は、[設定(Settings)]>[組織の設定(Organization Settings)]からアクセスできます。組織設定には、組織(org)の管理者のみがアクセス可能です。組織管理者は、複数のサブスクリプションに影響を与える設定や統合を制御する、サブスクリプション管理者レベルより上の権限レベルです。SCIMのセットアップはセルフサービスで、IdPにアクセスできる組織の管理者は、支援なしですべての設定を完了できます。

前提条件

PendoでSCIMを設定するには、次のことが必要です。

  • Pendo組織管理者であること。
  • Oktaの有効なサブスクリプションを所有していること。詳細については、PendoのOktaによるSAML設定を参照してください。現時点では、IdPとしてOktaのみをサポートしています。
  • SAMLがPendoサブスクリプションに適用されていること。サブスクリプションにSAMLを設定するには、Pendoサポートまでお問い合わせください。詳細については、SAMLシングルサインオン(SSO)の概要を参照してください。

また、ユーザーとその役割のCSVを最初にダウンロードして、チームがIDプロバイダーから変更を加える前にユーザーの権限を記録しておくことをお勧めします。これを行うには、Pendoの[設定(Settings)]>[ユーザー(Users)]に移動し、ユーザーテーブルの右上にあるダウンロードアイコンを選択します。

重要:SCIMを有効にすると、Pendo UIから個々のユーザーのアクセス制御が削除されます。Pendoのユーザー設定では、ユーザーの招待や削除はできません。アクセスはすべてIDプロバイダーで制御されます。

組織のSCIMを有効にする

サブスクリプションがSCIMを使用する前に、組織はインテグレーションキーでIdPに接続されている必要があります。組織でSCIMを有効にしても、ユーザーのアクセスには影響はありません。ユーザーのアクセスの許可または制限は、サブスクリプションレベルのSCIM設定で制御されます。

  1. Pendoで、[設定(Setting)]>[組織設定(Organization Settings)]に移動します。
  2. [SCIM]タブを開き、[SCIM設定(SCIM Settings)][SCIMプロビジョニング(SCIM Provisioning)]をオンに切り替えます。そうすると、Pendoとお客様のIDプロバイダーとの接続に必要なベースURLとAPIキーが自動的に提供されます。

    EnableSCIM.png
  3. ベースURLAPIキーをコピーして、後で使用する場所にペーストします。

    ToggleOrgSCIM.png
  4. IDプロバイダーで、ベースURLとAPIキーを使用してPendoと統合します。

この設定は、プロバイダーごとに異なります。Oktaでは、アプリのインテグレーションにSCIMプロビジョニングを追加するの記事で、SCIMプロビジョニングを追加するための詳細な手順を紹介しています。詳しい手順については、OktaでSCIMを使用したSAMLを設定するの記事を参照してください。

SCIMプロビジョニングのためのユーザーグループを準備する

インテグレーションが接続されたら、IDプロバイダーでPendoを使用してSCIMプロビジョニングを行うためのユーザーグループを準備します。

  1. Pendoをユーザーグループに追加します。サブスクリプションに参加しているすべてのユーザーはデータを表示できますが、レポートの共有やガイドの制御はより詳細に管理されます。
  2. ユーザーがPendoのサブスクリプション、データ、ガイドへのアクセス権を持っているかどうかを確認します。
  3. ユーザーグループをPendoにプッシュします。

IdPグループをPendoにプッシュする

IdPグループとは、アクセスをまとめて管理できるユーザーのリストです。IdPグループはIdPプラットフォームで管理され、インテグレーションが確立された後にIdPからPendoにプッシュされます。

それらのグループが利用できるアプリにPendoを追加し、グループやユーザーをPendoにプッシュします。グループがPendoにプッシュされた後、[設定]>[組織設定]>[SCIM][IdPグループ(IdP Groups)]タブからIdPグループを更新できます。

IdPGroups.png

サブスクリプションレベルのアクセスを有効にする

SCIMがサブスクリプションに対して有効になり、役割がIdPグループに割り当てられるまで、ユーザーはPendoサブスクリプションにアクセスできません。

サブスクリプションレベルでのSCIMの有効化は任意です。一部のサブスクリプションはSCIMプロビジョニングを使用できますが、他のサブスクリプションは引き続き手動のアクセスコントロールを使用しています。

サブスクリプションに対してSCIMを有効にすると、役割と権限の招待、削除、編集などの手動によるユーザー制御が無効になります。すべてのアクセスは、IdPの設定またはPendo SCIM設定のサブスクリプションアクセスで制御されます。

サブスクリプションレベルでSCIMを有効にすると、IdPグループのメンバーに割り当てた権限に従って、IdPグループのすべてのユーザーにサブスクリプションへのアクセスが許可されます。手動でPendoに追加されたユーザーのうち、IdPグループに属していないユーザーは、直ちにPendoサブスクリプションへアクセスできなくなります。

Pendoで[設定]>[組織設定]>[SCIM]>[サブスクリプションアクセス(Subscription Access)]に移動し、次の手順を行います。

  1. 使用しているサブスクリプションを探し、その横にある[SCIMを有効化(Enable SCIM)]を選択します。

    Sub_Access.png
  2. [次へ:権限を割り当て(Next: Assign Permissions)]を選択し、サブスクリプションアクセスを許可するグループを選択します。

    SelectGroups.png
  3. グループを選択し、権限を付与します。これはお客様のIdPグループです。各グループに権限が割り当てられるまで繰り返します。

    AssignPermissions.png
  4. [SCIMを有効化(Enable SCIM)]を選択し、SCIMの設定を完了します。
  5. この選択を確定するには、表示されるウィンドウに「I understand」と入力し、[SCIMを有効化]を選択します。

    EnableSCIMConfirm.png

Pendoのサブスクリプションの役割と権限については、役割と権限の概要を参照してください。フィードバックが有効なサブスクリプションの場合、権限の割り当てにはPendo Feedbackへのアクセスも含まれます。

サブスクリプションレベルでSCIMを管理する

サブスクリプションに対してSCIMを有効にした後、以下のグループとアクセス許可を編集できます。

  • グループに関連付けられているアクセス許可を変更する
  • 追加グループのアクセス許可を設定する
  • 1つ以上のグループのアクセス許可を削除する

IdPグループのアクセスと権限は、サブスクリプションアクセスで制御されます。Pendoで[設定]>[組織設定]>[SCIM]>[スブスクリプションアクセス]に移動し、サブスクリプションの横にある[アクセス管理(Manage Access)]を選択します。これにより、グループや権限の変更できるサブスクリプションアクセスワークフローが再度起動されます。

APIキーを再生成する

セキュリティ対策としてAPIキーを定期的に循環させている場合や、新しいIDプロバイダーを利用して新しいインテグレーションを構築する必要がある場合には、キーを再生成することができます。

現在のAPIキーを無効にして新しいキーを作成するには、PendoのAPIキーの下にある[APIキーを再生成(Regenerate API Key)]リンクをクリックします。このリンクは、[組織設定]>[SCIM]に移動すると表示されます。表示される確認画面で、[はい、キーを再生成します(Yes, Regenerate Key)]を選択します。

RegenAPIkey.png

APIキーを再生成すると、新しいキーがIdPで設定されて接続が再確立されるまで、IdPとのインテグレーションが中断されます。ユーザーは引き続き、IDプロバイダーからの最後のプッシュに基づいて、Pendoへのアクセスが可能です。

IdPとの接続が再確立されるかSCIMが無効になるまでは、手動制御は利用できず、ユーザーの追加や削除はできません。

サブスクリプションレベルでSCIMを無効にする

サブスクリプションのSCIMを無効にすると、[設定]>[組織設定]>[SCIM]>[サブスクリプションアクセス]におけるすべてのIdPグループに対するアクセスが削除されます。これにより、そのサブスクリプションの[設定]>[ユーザー(Users)]におけるユーザーアクセスおよび許可の手動制御が復元されます。

サブスクリプション内のユーザーの手動制御は、サブスクリプション管理者によって管理されます。また、サブスクリプション管理者は、必要に応じて個々のユーザーのアクセスを変更することができます。

サブスクリプションレベルでSCIMを無効にするには、次の手順を行います。

  1. Pendoで[設定]>[組織設定]>[SCIM]>[スブスクリプションアクセス]に移動し、サブスクリプションの横にある[アクセス管理]を選択します。これで、サブスクリプションアクセスのワークフローが再開されます。
  2. [[...]に対するSCIMの無効化(Disable SCIM for [...])]を選択すると、確認ウィンドウが表示されます。
  3. 確認画面で[SCIMの無効化(Disable SCIM)]を選択します。

これでSCIMのプロビジョニングがサブスクリプションから削除され、手動制御が回復します。SCIMを再有効化するには、サブスクリプションレベルでSCIMを有効にするの手順に従います。

組織のSCIM構成を削除する

Pendoで、[設定]>[組織設定]>[SCIM]>[SCIM設定]に移動し、トグルを使って[SCIMプロビジョニング]をオフにします。手順は次のとおりです。

  • SCIM設定全体を削除します。
  • APIキーを無効にします。
  • IdPとのインテグレーションを無効にします。
  • すべてのサブスクリプションに対してSCIMを無効にします。
  • 手動ユーザー制御を再アクティブ化します。

現在サブスクリプションにアクセスできるユーザーは、手動で削除されるまでそのアクセス権が維持されます。

一度無効にすると元に戻すことはできません。組織構成を削除した後にSCIMを再起動すると、フレッシュスタート(新たな開始)となります。IdPとのインテグレーションは、新しいAPIキーで再度設定し、すべてのサブスクリプションを有効にし、すべてのユーザーグループを適切な役割と権限に接続する必要があります。

組織のSCIMを再アクティブ化する

組織構成を削除した後に組織のSCIMを再アクティブ化するには、最初からやり直す必要があります。次のことが必要です。

  • 新しいAPIキーを含め、IdPとのインテグレーションを設定する
  • すべてのサブスクリプションを有効にする
  • 適切な役割と権限をユーザーグループに割り当てる

 

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています