SCIMを使用すると、OktaでPendoユーザーを自動プロビジョニングおよび管理できます。
この記事では、SAMLを設定する方法と、SCIMを設定して、Pendoでユーザーを作成、削除、更新し、グループをPendoにプッシュして権限を設定する方法について説明します。
頭字語と頭文字略語(イニシャリズム)の用語集
用語 |
説明 |
|
IdP |
IDプロバイダー |
エンドユーザーのアカウントを管理するサービスで、LDAPやアクティブディレクトリ(Active Directory)などのユーザーディレクトリに似ています。SAMLレスポンスをサービスプロバイダーに送信することでエンドユーザーを認証します。IDプロバイダーには、Google、Azure、Oktaなどがあります。 |
SAML |
セキュリティアサーションマークアップ言語 |
XMLベースの規格であり、IDプロバイダー(IdP)とサービスプロバイダーとの間で認証や承認に関するデータを交換するために使用されます。SAML規格は、SSOソリューションに固有の問題を解決します。詳しくは、WikipediaのSAMLの記事をご覧ください。 |
SCIM |
クロスドメインID管理システム |
アプリケーションレベルのプロビジョニングプロトコルを使用して、複数のドメインでユーザーID情報を安全に管理するためのオープンスタンダード。SCIMは、ユーザーとグループを表す定義済みのスキーマと、それらのユーザーとグループのリソースに対して操作を実行する方法を提供します。 |
SSO |
シングルサインオン |
ユーザーはIdPに一度サインインするだけで、都度サインインせずに複数のシステムにアクセスできるようになるシステム。ユーザーは一度のサインインで、ファイアウォールの内側とクラウドにあるすべてのウェブアプリケーションにアクセスできます。これにより、アクセス管理がSAML管理者に一元化されます。 |
SCIMの機能
OktaのSCIMを使用してSAMLを設定すると、次のアクションを実行できるようになります。
- ユーザーの作成。OktaのユーザーをPendoに割り当てると、Pendoのユーザーとして追加されます。
- ユーザーの更新。Oktaで行われた更新はPendoに自動的にプッシュされるため、同期が維持されます。
- ユーザーの削除と非アクティブ化。OktaでPendoユーザーを削除して非アクティブ化します。
- グループのプッシュ。OktaのユーザーのグループをPendoに割り当てます。
前提条件
- SAMLおよびSCIMに対応したPendoのサブスクリプション。詳しくは、Pendoサポートまでお問い合わせください。
- SCIMをサポートするOktaの新規または既存のSAML設定。
- 会社のPendoアカウントの組織管理者権限。
- 会社のOktaアカウントの管理者権限。
ステップ1:新しいSAMLアプリを準備する
SCIMを使用して新しいSAMLアプリを設定するプロセスは、Pendoの現在のSAML SSOインテグレーションとは異なります。
SAML SSOは、SCIMを有効にするための前提条件です。ユーザーがOktaを介して認証するには、SAMLを使用したSSOが必要です。これを設定すると、SCIMを使用したSAML SSOにより、Pendoにサインインすることなく、Oktaを介してユーザーを作成、プロビジョニング、およびプロビジョニング解除することができます。
Oktaの設定が既にある場合でも、PendoアプリケーションをOktaで設定する必要があります。新しいアプリケーションを作成してアカウントのSCIMを有効にすることで、既存のOktaの設定を置き換えることができます。
SAMLアプリインテグレーションを作成する
まず、Oktaで新しいPendo SAMLアプリインテグレーションを作成します。詳細については、OktaのPendoのSAML 2.0を設定する方法を参照してください。
1. Oktaアカウントにサインインし、[管理者(Admin)]を選択します。
2. Pendoアプリケーションを選択します。
3. [サインオン(Sign On)]タブで、[デフォルトリレー状態(Default Relay State)]を、ご自身の地域に対応する値に設定します。ご利用のサブスクリプションのデータセンターに適したURLを選択します。
-
- 米国:https://pingone.com/1.0/c1dc3d4d-f04b-4c71-902f-af4895a57c21
- 米国1:https://pingone.com/1.0/d65656ad-caef-4a4d-99d7-e998b6f0d97f
- 欧州:https://pingone.com/1.0/2e51bcef-d8c5-4e12-b145-9d94e09d7bb5
4. 同じ[サインオン]タブで、[アプリケーションのユーザー名形式(Application username format)]を[メール(Email)]に設定します。
メタデータXMLをPendoと共有する
次のいずれかを実行して、メタデータXMLをPendoと共有できます。
- Oktaのアプリの[SAML設定手順(SAML setup instructions)]セクションから、SAML IdPメタデータXMLファイルをダウンロードします。
- Okta Pendoアプリの[サインオン]タブの[SAML設定手順の表示(View SAML setup instructions)]からURLをコピーします。
メタデータXMLとSSOを使用する全てのユーザーのメールドメインをPendoサポートチームに送信します。Pendoは新しいアプリのインテグレーションのためのSAML設定が完了したことを確認し、SAML SSOが機能していることを確認するための手順を共有します。
ステップ2:Okta用にSCIMを設定する
SCIMを設定するには、PendoでSCIMプロビジョニングを有効にした後に、OktaでSCIMプロビジョニングを設定します。チームがOktaから変更を加える前に、ユーザーとその役割のCSVをダウンロードしてユーザー権限を記録しておくことをお勧めします。
ユーザーのCSVをダウンロードする
1. Pendoで[設定]>[ユーザー]に移動します。
2.[ユーザー]テーブルの右上にあるダウンロードアイコンを選択します。これにより、役割を含むユーザー権限のスプレッドシートがダウンロードされます。
PendoでSCIMプロビジョニングを有効にする
1. Pendoで、[設定(Setting)]>[組織設定(Organization Settings)]に移動します。
2. [SCIM]タブを開き、SCIMプロビジョニングをSCIM設定でトグルを使用してオンにします。
3. SCIMプロビジョニングをオンにしたときに表示されるベースURLとAPIキーをコピーします。
OktaでSCIMプロビジョニングを設定する
1. Oktaアカウントにサインインし、[管理者(Admin)]を選択します。
2. Pendoアプリケーションを選択します。
3. [プロビジョニング(Provisioning)]>[インテグレーション(Integration)]で、[APIインテグレーションの設定(Configure API Integration)]を選択します。
4. Pendo SCIMの設定からコピーしたベースURLを[ベースURL(Base URL)]フィールドに追加します。
5. Pendo SCIMの設定からコピーしたAPIキーを[APIトークン(API Token)]フィールドに追加します。
6. [API認証情報のテスト(Test API Credentials)]を選択します。
7. テストに成功したら、[保存(Save)]を選択します。
8. [アプリへ(To App)]タブを開き、[編集(Edit)]を選択します。
9. PendoでサポートするOktaのSCIM機能(作成、更新、および非アクティブ化)を有効にします。すべてのオプションを選択することをお勧めします。
10. [保存(Save)]を選択して続行します。
最初のOktaグループをPendoにプッシュする
SCIMの設定を保存したばかりで、OktaのPendoアプリのインテグレーションページの[プロビジョニング]タブが表示されている場合は、以下の手順の3番に進んでください。
1. Oktaアカウントにサインインし、[管理者(Admin)]を選択します。
2. Pendoアプリケーションを選択します。
3. [割り当て(Assignments)]タブを選択します。
4. 左上の[割り当て]メニューから、[グループに割り当てる(Assign to Groups)]を選択します。
5. Pendoに同期するグループを探し、その名前の横にある[割り当て]を選択します。
6. すべてのオプションを空白にして、[保存して戻る(Save and Go Back)]を選択します。
7. [グループのプッシュ(Push Groups)]タブを選択します。
8. 左上の[グループのプッシュ]メニューから、[名前でグループを検索(Find groups by name)]を選択します。
9. Pendoに送信するグループを探し、[グループを作成(Create Group)]を選択します。
10. [保存]を選択してグループのプッシュを開始します。完了すると、[プッシュステータス(Push Status)]が[プッシュ中(Pushing)]から[アクティブ(Active)]に変更されます。
11. Pendoにグループが送信されたことを確認します。Pendoで[設定]> [組織設定]>[SCIM]>[IdPグループ]に移動して、グループがあることを確認します。
グループ内のユーザーが表示されない場合は、プロビジョニングされていないユーザーのプロビジョニングが必要な場合があります。詳細については、Oktaヘルプセンターでプロビジョニングされていないユーザーのプロビジョニングを参照してください。
注:現時点では、Pendoアプリでグループの個々のユーザーを表示することはできません。
SCIMをオンにした後、一部のカスタムユーザーロールがUIに正しく表示されない場合があります。通常、これはアプリケーションに再度サインインしていないユーザーの場合のみに生じます。これはUIのみの問題で、ユーザーが再度サインインすると解決します。
サブスクリプションレベルのアクセスを設定する
SCIMがサブスクリプションに対して有効になり、役割がIdPグループに割り当てられるまで、ユーザーはPendoサブスクリプションにアクセスできません。
サブスクリプションレベルでのSCIMの有効化は任意です。一部のサブスクリプションはSCIMプロビジョニングを使用できますが、他のサブスクリプションは引き続き手動のアクセスコントロールを使用しています。
サブスクリプションに対してSCIMを有効にすると、役割と権限の招待、削除、編集などの手動によるユーザー制御が無効になります。すべてのアクセスは、IdPの設定またはPendo SCIM設定のサブスクリプションアクセスで制御されます。
サブスクリプションレベルでSCIMを有効にする
SCIMをサブスクリプションレベルで有効にすると、IdPグループに属するすべてのユーザーに、IdPグループのメンバーに割り当てられた権限に従ってサブスクリプションへのアクセス権が付与されます。手動でPendoに追加したユーザーで、IdPグループに属していないユーザーは、すぐにPendoサブスクリプションへアクセスできなくなります。
Pendoで[設定]>[組織設定]>[SCIM]>[サブスクリプションアクセス(Subscription Access)]に移動し、次の手順を行います。
- 使用しているサブスクリプションを探し、その横にある[SCIMの有効化(Enable SCIM)]を選択します。
- [次へ:権限の割り当て(Next: Assign Permissions)]を選択し、サブスクリプションアクセスを許可するグループを選択します。
- グループを選択し、権限を付与します。これはお客様のIdPグループです。各グループに権限が割り当てられるまで繰り返します。
- [SCIMの有効化]を選択し、SCIMの設定を完了します。
- この選択を確認するには、表示されるウィンドウに「I understand」と入力し、[SCIMの有効化]を選択します。
Pendoのサブスクリプションの役割と権限については、役割と権限の概要をご覧ください。フィードバックが有効なサブスクリプションの場合、権限の割り当てにはPendo Feedbackへのアクセスも含まれます。
注:上記のワークフローがすべて完了するまで、ユーザーにはアクセス権が付与されません。
サブスクリプションレベルでSCIMを管理する
サブスクリプションに対してSCIMを有効にした後、以下のグループとアクセス許可を編集できます。
- グループに関連付けられているアクセス許可を変更する
- 追加グループのアクセス許可を設定する
- 1つ以上のグループのアクセス許可を削除する
Pendoで[設定]>[組織設定]>[SCIM]>[サブスクリプションアクセス]に移動し、サブスクリプションの横にある[アクセス管理(Manage Access)]を選択します。これで、サブスクリプションアクセスのワークフローが再開され、グループと権限を変更することができます。
APIキーを再生成する
セキュリティ対策としてAPIキーを定期的に循環させている場合や、新しいIDプロバイダーを利用して新しいインテグレーションを構築する必要がある場合には、キーを再生成することができます。
現在のAPIキーを無効にし、新しいキーを作成するには、PendoのAPIキーの下にある[APIキーの再生成(Regenerate API Key)]リンクをクリックします。このリンクは、[組織設定]>[SCIM]に移動すると表示されます。表示される確認画面で、[はい、キーを再生成します(Yes, Regenerate Ke)]を選択します。
APIキーを再生成すると、新しいキーがIdPで設定されて接続が再確立されるまで、IdPとのインテグレーションが中断されます。ユーザーは引き続き、IDプロバイダーからの最後のプッシュに基づいて、Pendoへのアクセスが可能です。
IdPとの接続が再確立されるかSCIMが無効になるまでは、手動制御は利用できず、ユーザーの追加や削除はできません。
サブスクリプションレベルでSCIMを無効にする
サブスクリプションのSCIMを無効にすると、[設定]>[組織設定]>[SCIM]>[サブスクリプションアクセス]におけるすべてのIdPグループに対するアクセスが削除されます。これにより、そのサブスクリプションの[設定]>[ユーザー(Users)]におけるユーザーアクセスおよび許可の手動制御が復元されます。
サブスクリプション内のユーザーの手動制御は、サブスクリプション管理者によって管理されます。また、サブスクリプション管理者は、必要に応じて個々のユーザーのアクセスを変更することができます。
サブスクリプションレベルでSCIMを無効にするには、次の手順を行います。
- Pendoで[設定]>[組織設定]>[SCIM]>[スブスクリプションアクセス]に移動し、サブスクリプションの横にある[アクセス管理]を選択します。これで、サブスクリプションアクセスのワークフローが再開されます。
- [[...]に対するSCIMの無効化(Disable SCIM for [...])]を選択すると、確認ウィンドウが表示されます。
- 確認画面で[SCIMの無効化(Disable SCIM)]を選択します。
これでSCIMのプロビジョニングがサブスクリプションから削除され、手動制御が回復します。SCIMを再有効化するには、サブスクリプションレベルでSCIMを有効にするの手順に従います。
組織のSCIM構成を削除する
Pendoで、[設定]>[組織設定]>[SCIM]>[SCIM設定]に移動し、トグルを使って[SCIMプロビジョニング]をオフにします。手順は次のとおりです。
- SCIM設定全体を削除します。
- APIキーを無効にします。
- IdPとのインテグレーションを無効にします。
- すべてのサブスクリプションに対してSCIMを無効にします。
- 手動ユーザー制御を再アクティブ化します。
現在サブスクリプションにアクセスできるユーザーは、手動で削除されるまでそのアクセス権が維持されます。
一度無効にすると元に戻すことはできません。組織構成を削除した後にSCIMを再起動すると、フレッシュスタート(新たな開始)となります。IdPとのインテグレーションは、新しいAPIキーで再度設定し、すべてのサブスクリプションを有効にし、すべてのユーザーグループを適切な役割と権限に接続する必要があります。
組織のSCIMを再アクティブ化する
組織構成を削除した後に組織のSCIMを再アクティブ化するには、最初からやり直す必要があります。次のことが必要です。
- 新しいAPIキーを含め、IdPとのインテグレーションを設定する
- すべてのサブスクリプションを有効にする
- 適切な役割と権限をユーザーグループに割り当てる
詳しくは、本記事のステップ2をご覧ください。