クロスドメインのアイデンティティ管理システム(SCIM)は、集中的なユーザー管理プラットフォームとして単一のIDプロバイダー(IdP)を使用して、企業内の識別されたユーザーを企業内のすべてのソフトウェアツールに接続するために使用されます。PendoでSCIMを設定すると、ユーザーを個別に追加しなくても、IdPで設定されたグループのアクセスやユーザー権限を制御できます。
注: SCIMは、プレミアムのお客様向けまたはアドオンとして利用できます。詳細については、Pendoの担当者にお問い合わせください。
Pendo組織管理者は、Pendo組織をSCIMプロバイダーに接続し、その組織内のPendoサブスクリプションのSCIMユーザー管理を有効にすることができます。これらのユーザーは、セキュリティアサーションマークアップ言語(SAML)のシングルサインオン(SSO)を使ってPendoにアクセスできます。
SCIMプロビジョニングは、カスタムの役割や権限がある場合はそれと組み合わせて使用することで、各グループに付与されるアクセスを詳細に制御することができます。特定のサブスクリプションとそのサブスクリプション内のグループに付与されたアクセスに対してSCIMを有効にすることで、企業全体のPendoアクセスを正確に制御することができます。
頭字語と頭文字略語(イニシャリズム)の用語集
用語 |
説明 |
|
IdP |
IDプロバイダー |
エンドユーザーのアカウントを管理するサービスで、LDAPやアクティブディレクトリ(Active Directory)などのユーザーディレクトリに似ています。SAMLレスポンスをサービスプロバイダーに送信することでエンドユーザーを認証します。IDプロバイダーには、Google、Azure、Oktaなどがあります。 |
SAML |
セキュリティアサーションマークアップ言語 |
XMLベースの規格であり、IDプロバイダー(IdP)とサービスプロバイダーとの間で認証や承認に関するデータを交換するために使用されます。SAML規格は、SSOソリューションに固有の問題を解決します。詳しくは、WikipediaのSAMLの記事をご覧ください。 |
SCIM |
クロスドメインのアイデンティティ管理用システム |
アプリケーションレベルのプロビジョニングプロトコルを使用して、複数のドメインでユーザーID情報を安全に管理するためのオープンスタンダード。SCIMは、ユーザーとグループを表す定義済みのスキーマと、それらのユーザーとグループのリソースに対して操作を実行する方法を提供します。 |
SSO |
シングルサインオン |
ユーザーはIdPに一度サインインするだけで、都度サインインせずに複数のシステムにアクセスできるようになるシステム。ユーザーは一度のサインインで、ファイアウォールの内側とクラウドにあるすべてのウェブアプリケーションにアクセスできます。これにより、アクセス管理がSAML管理者に一元化されます。 |
PendoのSCIMを使用したSAML
IdPには、SAMLまたはSCIMを使用したSAMLを構成するための個別のプロセスがあります。IdPがマーケットプレイスにインテグレーションとしてPendo SCIMを持っていない場合、SCIMを使用したSAMLを使用するIdPプラットフォームでカスタムアプリのインテグレーションを作成する必要があります。新しいアプリのインテグレーションによって、既存のSAMLのみのインテグレーションが置き換えられます。
このプロセスは、Pendoサポートチームではなく、Pendoの担当者が直接サポートして、Pendoが主導します。IdPでアプリの設定を完了するために必要な情報を提供し、新しいIdPアプリのインテグレーションとメタデータファイルで動作するようにPendoを構成します。
PendoサブスクリプションでSCIMが有効になると、Pendo内でチームメイトを手動で追加または削除することができなくなります。
権限
SCIMの設定は、[設定(Settings)]>[組織の設定(Organization Settings)]からアクセスできます。組織設定には、組織(org)の管理者のみがアクセス可能です。組織管理者は、複数のサブスクリプションに影響を与える設定や統合を制御する、サブスクリプション管理者レベルより上の権限レベルです。SCIMのセットアップはセルフサービスで、IdPにアクセスできる組織の管理者は、支援なしですべての設定を完了できます。
前提条件
PendoでSCIMを設定するには、次のことが必要です。
- Pendo組織管理者であること。
- Oktaの有効なサブスクリプションを所有していること。詳細については、PendoのOktaによるSAML設定を参照してください。現時点では、IdPとしてOktaのみをサポートしています。
- SAMLがPendoサブスクリプションに適用されていること。サブスクリプションにSAMLを設定するには、Pendoサポートまでお問い合わせください。詳細については、SAMLシングルサインオン(SSO)の概要を参照してください。
また、ユーザーとその役割のCSVを最初にダウンロードして、チームがIDプロバイダーから変更を加える前にユーザーの権限を記録しておくことをお勧めします。これを行うには、Pendoの[設定(Settings)]>[ユーザー(Users)]に移動し、ユーザーテーブルの右上にあるダウンロードアイコンを選択します。
重要:SCIMを有効にすると、Pendo UIから個々のユーザーのアクセス制御が削除されます。Pendoのユーザー設定では、ユーザーの招待や削除はできません。アクセスはすべてIDプロバイダーで制御されます。
組織のSCIMを有効にする
サブスクリプションがSCIMを使用する前に、組織はインテグレーションキーでIdPに接続されている必要があります。組織でSCIMを有効にしても、ユーザーのアクセスには影響はありません。ユーザーのアクセスの許可または制限は、サブスクリプションレベルのSCIM設定で制御されます。
- Pendoで[設定]>[組織設定]に移動します。
-
[SSO]タブを開き、[SCIM設定(SCIM Settings)]のトグルを使用して[SCIMプロビジョニング(SCIM Provisioning)]をオンにします。これにより、Pendoとお客様のIDプロバイダーとの接続に必要なベースURLとAPIキーが自動的に提供されます。
-
ベースURLとAPIキーをコピーして、後で使用する場所にペーストします。
- IDプロバイダーで、ベースURLとAPIキーを使用してPendoと統合します。
この設定は、プロバイダーごとに異なります。Oktaでは、アプリのインテグレーションにSCIMプロビジョニングを追加するの記事で、SCIMプロビジョニングを追加するための詳細な手順を紹介しています。詳しい手順については、OktaでSCIMを使用したSAMLを設定するの記事を参照してください。
SCIMプロビジョニングのためのユーザーグループを準備する
インテグレーションが接続されたら、IDプロバイダーでPendoを使用してSCIMプロビジョニングを行うためのユーザーグループを準備します。
- Pendoをユーザーグループに追加します。サブスクリプションに参加しているすべてのユーザーはデータを表示できますが、レポートの共有やガイドの制御はより詳細に管理されます。
- ユーザーがPendoのサブスクリプション、データ、ガイドへのアクセス権を持っているかどうかを確認します。
- ユーザーグループをPendoにプッシュします。
IdPグループをPendoにプッシュする
IdPグループとは、アクセスをまとめて管理できるユーザーのリストです。IdPグループはIdPプラットフォームで管理され、インテグレーションが確立された後にIdPからPendoにプッシュされます。
それらのグループが利用できるアプリにPendoを追加し、グループやユーザーをPendoにプッシュします。グループがPendoにプッシュされた後、[設定]>[組織設定]>[SSO]の[IdPグループ(IdP Groups)]タブからIdPグループを更新できます。
サブスクリプションレベルのアクセスを有効にする
SCIMがサブスクリプションに対して有効になり、役割がIdPグループに割り当てられるまで、ユーザーはPendoサブスクリプションにアクセスできません。
サブスクリプションレベルでのSCIMの有効化は任意です。一部のサブスクリプションはSCIMプロビジョニングを使用できますが、他のサブスクリプションは引き続き手動のアクセスコントロールを使用しています。
サブスクリプションに対してSCIMを有効にすると、役割と権限の招待、削除、編集などの手動によるユーザー制御が無効になります。すべてのアクセスは、IdPの設定またはPendo SCIM設定のサブスクリプションアクセスで制御されます。
サブスクリプションレベルでSCIMを有効にすると、IdPグループのメンバーに割り当てた権限に従って、IdPグループのすべてのユーザーにサブスクリプションへのアクセスが許可されます。手動でPendoに追加されたユーザーのうち、IdPグループに属していないユーザーは、直ちにPendoサブスクリプションへアクセスできなくなります。
Pendoで[設定]>[組織設定]>[SSO]>[サブスクリプションアクセス(Subscription Access)]に移動し、次の手順を行います。
- 使用しているサブスクリプションを探し、その横にある[SCIMを有効化(Enable SCIM)]を選択します。
-
[次へ:権限を割り当て(Next: Assign Permissions)]を選択し、サブスクリプションアクセスを許可するグループを選択します。
- グループを選択し、権限を付与します。これはお客様のIdPグループです。各グループに権限が割り当てられるまで繰り返します。
- [SCIMを有効化(Enable SCIM)]を選択し、SCIMの設定を完了します。
- この選択を確定するには、表示されるウィンドウに「I understand」と入力し、[SCIMを有効化]を選択します。
Pendoのサブスクリプションの役割と権限については、役割と権限を参照してください。フィードバックが有効なサブスクリプションの場合、権限の割り当てにはPendo Feedbackへのアクセスも含まれます。
サブスクリプションレベルでSCIMを管理する
サブスクリプションに対してSCIMを有効にした後、以下のグループとアクセス許可を編集できます。
- グループに関連付けられているアクセス許可を変更する
- 追加グループのアクセス許可を設定する
- 1つ以上のグループのアクセス許可を削除する
IdPグループのアクセスと権限は、[サブスクリプションアクセス]で制御されます。Pendoで[設定]>[組織設定]>[SSO]>[SCIM設定]>[サブスクリプションアクセス]に移動し、サブスクリプションの横にある[アクセス管理(Manage Access)]を選択します。これによりサブスクリプションアクセスワークフローが再開され、グループや権限に変更を加えられるようになります。
APIキーを再生成する
セキュリティ対策としてAPIキーを定期的に循環させている場合や、新しいIDプロバイダーを利用して新しいインテグレーションを構築する必要がある場合には、キーを再生成することができます。
現在のAPIキーを無効にして新しいキーを作成するには、PendoのAPIキーの下にある[APIキーを再生成(Regenerate API Key)]リンクをクリックします。このリンクは、[組織設定]>[SSO]>[SCIM設定]に移動すると表示されます。表示される確認画面で、[はい、キーを再生成します(Yes, Regenerate Key)]を選択します。
APIキーを再生成すると、新しいキーがIdPで設定されて接続が再確立されるまで、IdPとのインテグレーションが中断されます。ユーザーは引き続き、IDプロバイダーからの最後のプッシュに基づいて、Pendoへのアクセスが可能です。
IdPとの接続が再確立されるかSCIMが無効になるまでは、手動制御は利用できず、ユーザーの追加や削除はできません。
サブスクリプションレベルでSCIMを無効にする
サブスクリプションのSCIMを無効にすると、[設定]>[組織設定]>[SSO]>[SCIM設定]>[サブスクリプションアクセス]におけるすべてのIdPグループのアクセス権が削除されます。これにより、そのサブスクリプションの[設定]>[ユーザー(Users)]におけるユーザーのアクセスと権限の手動制御が復元されます。
サブスクリプション内のユーザーの手動制御は、サブスクリプション管理者によって管理されます。また、サブスクリプション管理者は、必要に応じて個々のユーザーのアクセスを変更することができます。
サブスクリプションレベルでSCIMを無効にするには、次の手順を行います。
- Pendoで[設定]>[組織設定]>[SSO]>[SCIM設定]>[サブスクリプションアクセス]に移動し、サブスクリプションの横にある[アクセス管理]を選択します。これにより、サブスクリプションアクセスワークフローが再開されます。
- [[...]に対するSCIMの無効化(Disable SCIM for [...])]を選択すると、確認ウィンドウが表示されます。
- 確認画面で[SCIMの無効化(Disable SCIM)]を選択します。
これでSCIMのプロビジョニングがサブスクリプションから削除され、手動制御が回復します。SCIMを再有効化するには、サブスクリプションレベルでSCIMを有効にするの手順に従います。
組織のSCIM構成を削除する
Pendoで[設定]>[組織設定]>[SSO]>[SCIM設定]に移動し、トグルを使って[SCIMプロビジョニング]をオフにします。手順は次のとおりです。
- SCIM設定全体を削除します。
- APIキーを無効にします。
- IdPとのインテグレーションを無効にします。
- すべてのサブスクリプションに対してSCIMを無効にします。
- 手動ユーザー制御を再アクティブ化します。
現在サブスクリプションにアクセスできるユーザーは、手動で削除されるまでそのアクセス権が維持されます。
一度無効にすると元に戻すことはできません。組織構成を削除した後にSCIMを再起動すると、フレッシュスタート(新たな開始)となります。IdPとのインテグレーションは、新しいAPIキーで再度設定し、すべてのサブスクリプションを有効にし、すべてのユーザーグループを適切な役割と権限に接続する必要があります。
組織のSCIMを再アクティブ化する
組織構成を削除した後に組織のSCIMを再アクティブ化するには、最初からやり直す必要があります。次のことが必要です。
- 新しいAPIキーを含め、IdPとのインテグレーションを設定する
- すべてのサブスクリプションを有効にする
- 適切な役割と権限をユーザーグループに割り当てる