OktaでSCIMを使用したSAMLを設定する

最終更新日:

SCIMを使用すると、OktaでPendoユーザーを自動プロビジョニングおよび管理できます。SCIMは、プレミアムのお客様向けまたはアドオンとして利用できます。詳細については、Pendoの担当者にお問い合わせください。

この記事では、SAMLを設定する方法と、SCIMを設定して、Pendoでユーザーを作成、削除、更新し、グループをPendoにプッシュして権限を設定する方法について説明します。

SCIMの機能

OktaのSCIMを使用してSAMLを設定すると、次のアクションを実行できるようになります。

  • ユーザーの作成。OktaのユーザーをPendoに割り当てると、Pendoのユーザーとして追加されます。
  • ユーザーの更新。Oktaで行われた更新はPendoに自動的にプッシュされるため、同期が維持されます。
  • ユーザーの削除と非アクティブ化。OktaでPendoユーザーを削除して非アクティブ化します。
  • グループのプッシュ。OktaのユーザーのグループをPendoに割り当てます。

前提条件

  • 会社のPendoアカウントの組織管理者権限。
  • 会社のOktaアカウントの管理者権限。
  • Oktaの新規または既存のSAML設定。
  • SAMLおよびSCIMに対応したPendoのサブスクリプション。詳しくは、Pendoの担当者までお問い合わせください。
  • SAMLがPendoサブスクリプションに適用されていること。サブスクリプションにSAMLを設定するには、Pendoサポートまでお問い合わせください。詳細については、SAMLシングルサインオン(SSO)の概要を参照してください。

ステップ1:新しいSAMLアプリを準備する

SCIMを使用して新しいSAMLアプリを設定するプロセスは、Pendoの現在のSAML SSOインテグレーションとは異なります。

SAML SSOは、SCIMを有効にするための前提条件です。ユーザーがOktaを介して認証するには、SAMLを使用したSSOが必要です。これを設定すると、SCIMを使用したSAML SSOにより、Pendoにサインインすることなく、Oktaを介してユーザーを作成、プロビジョニング、およびプロビジョニング解除することができます。

Oktaの設定が既にある場合でも、PendoアプリケーションをOktaで設定する必要があります。新しいアプリケーションを作成してアカウントのSCIMを有効にすることで、既存のOktaの設定を置き換えることができます。

SAMLアプリインテグレーションを作成する

まず、Oktaで新しいPendo SAMLアプリインテグレーションを作成します。詳細については、OktaのPendoのSAML 2.0を設定する方法を参照してください。

1. Oktaアカウントにサインインし、[管理者(Admin)]を選択します。

2. Pendoアプリケーションを選択します。

3. [サインオン(Sign On)]タブで、[デフォルトリレー状態(Default Relay State)]を、ご自身の地域に対応する値に設定します。ご利用のサブスクリプションのデータセンターに適したURLを選択します。

    • 米国:https://pingone.com/1.0/c1dc3d4d-f04b-4c71-902f-af4895a57c21
    • 米国1:https://pingone.com/1.0/d65656ad-caef-4a4d-99d7-e998b6f0d97f
    • 欧州:https://pingone.com/1.0/2e51bcef-d8c5-4e12-b145-9d94e09d7bb5
    • 日本:https://pingone.com/1.0/5d4212e1-4feb-4d30-b933-6bfda633d532

4. 同じ[サインオン]タブで、[アプリケーションのユーザー名形式(Application username format)][メール(Email)]に設定します。

sign-on_settings.png

メタデータXMLをPendoと共有する

次のいずれかを実行して、メタデータXMLをPendoと共有できます。

  • [推奨]Okta Pendoアプリの[サインオン]タブの[SAML設定手順を表示(View SAML setup instructions)]からURLをコピーします。
  • Oktaのアプリの[SAML設定手順(SAML setup instructions)]セクションから、SAML IdPメタデータXMLファイルをダウンロードします。

メタデータXMLとSSOを使用する全てのユーザーのメールドメインをPendoサポートチームに送信します。Pendoは新しいアプリのインテグレーションのためのSAML設定が完了したことを確認し、SAML SSOが機能していることを確認するための手順を共有します。

ステップ2:Okta用にSCIMを設定する

SCIMを設定するには、PendoでSCIMプロビジョニングを有効にした後に、OktaでSCIMプロビジョニングを設定します。チームがOktaから変更を加える前に、ユーザーとその役割のCSVをダウンロードしてユーザー権限を記録しておくことをお勧めします

ユーザーのCSVをダウンロードする

1. Pendoで[設定]>[ユーザー]に移動します。

2.[ユーザー]テーブルの右上にあるダウンロードアイコンを選択します。これにより、役割を含むユーザー権限のスプレッドシートがダウンロードされます。

Settings_Users_Download.png

PendoでSCIMプロビジョニングを有効にする

1. Pendoで、[設定(Setting)]>[組織設定(Organization Settings)]に移動します。

2. [SCIM]タブを開き、SCIMプロビジョニングSCIM設定でトグルを使用してオンにします

3. SCIMプロビジョニングをオンにしたときに表示されるベースURLAPIキーをコピーします。

OrgSettings_SCIMSettings.png

OktaでSCIMプロビジョニングを設定する

1. Oktaアカウントにサインインし、[管理者(Admin)]を選択します。

2. Pendoアプリケーションを選択します。

3. [プロビジョニング(Provisioning)]>[インテグレーション(Integration)]で、[APIインテグレーションの設定(Configure API Integration)]を選択します。

provisioning_integration.png

4. Pendo SCIMの設定からコピーしたベースURLを[ベースURL(Base URL)]フィールドに追加します。

5. Pendo SCIMの設定からコピーしたAPIキーを[APIトークン(API Token)]フィールドに追加します。

6. [API認証情報のテスト(Test API Credentials)]を選択します。

7. テストに成功したら、[保存(Save)]を選択します。

provisioning_integration_api.png

8. [アプリへ(To App)]タブを開き、[編集(Edit)]を選択します。

9. PendoでサポートするOktaのSCIM機能(作成、更新、および非アクティブ化)を有効にします。すべてのオプションを選択することをお勧めします。

10. [保存(Save)]を選択して続行します。

provisioning_toApp.png

最初のOktaグループをPendoにプッシュする

SCIMの設定を保存したばかりで、OktaのPendoアプリのインテグレーションページの[プロビジョニング]タブが表示されている場合は、以下の手順の3番に進んでください。

1. Oktaアカウントにサインインし、[管理者(Admin)]を選択します。

2. Pendoアプリケーションを選択します。

3. [割り当て(Assignments)]タブを選択します。

4. 左上の[割り当て]メニューから、[グループに割り当てる(Assign to Groups)]を選択します。

SCIM_AssignToGroups.png

5. Pendoに同期するグループを探し、その名前の横にある[割り当て]を選択します。

6. すべてのオプションを空白にして、[保存して戻る(Save and Go Back)]を選択します。

AssignPendoLink.png

7. [グループのプッシュ(Push Groups)]タブを選択します。

8. 左上の[グループのプッシュ]メニューから、[名前でグループを検索(Find groups by name)]を選択します。

PendoLinkSCIMPushGroups.png

9. Pendoに送信するグループを探し、[グループを作成(Create Group)]を選択します。

10. [保存]を選択してグループのプッシュを開始します。完了すると、[プッシュステータス(Push Status)][プッシュ中(Pushing)]から[アクティブ(Active)]に変更されます。

11. Pendoにグループが送信されたことを確認します。Pendoで[設定]> [組織設定]>[SCIM]>[IdPグループ]に移動して、グループがあることを確認します。

グループ内のユーザーが表示されない場合は、プロビジョニングされていないユーザーのプロビジョニングが必要な場合があります。詳細については、Oktaヘルプセンターでプロビジョニングされていないユーザーのプロビジョニングを参照してください。

OrgSettings_IdPGroups.png

注:現時点では、Pendoアプリでグループの個々のユーザーを表示することはできません。

SCIMをオンにした後、一部のカスタムユーザーロールがUIに正しく表示されない場合があります。通常、これはアプリケーションに再度サインインしていないユーザーの場合のみに生じます。これはUIのみの問題で、ユーザーが再度サインインすると解決します。

 

 

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています