6clicks 用の System for Cross-Domain Identity Management(SCIM)2.0 の構成方法
6clicks は、SCIM 2.0 API 標準を介して Microsoft Entra ID の自動 ID プロビジョニング機能との統合をサポートしています。これにより、ユーザーを 6clicks 内で自動的に作成、更新、無効化し、グループ メンバーシップを割り当てることができ、Microsoft Entra ディレクトリと同期します。
SCIM プロビジョニングは、ジャストインタイム(JIT)プロビジョニングと併用できます。JIT プロビジョニングは、ユーザーがログインすると同時に、そのユーザーの ID、ロール、グループ情報を同期できる利点があります。一方、SCIM プロビジョニングは 40 分間隔で同期しますが、ユーザーのログインを必要とせずに情報を同期できます。ユーザー グループが複雑な大規模組織には SCIM の使用を推奨します。
なお、現在 SCIM プロビジョニングはシングルサインオン(SSO)が有効な場合にのみサポートされます。本ガイドでは、6clicks アカウントで既にSSO を構成済みであることを前提とします。
続行する前に、アプリケーションの自動プロビジョニングに関する Microsoft Entra のドキュメントに目を通しておいてください。6clicks は「非ギャラリー」アプリケーションとして扱われます。
注意: 本ガイドは SCIM を始めるための概要のみを扱います。詳細は Microsoft Entra のドキュメントを参照してください。
API キーの作成
SCIM API エンドポイントは、6clicks のディベロッパー向けAPIのサブセットとして提供されています。以下の手順では、API キーと長期有効トークンの作成方法を説明します。
- 6clicks では、API キーはユーザー アカウントに紐づき、その権限を継承します。以下の権限を持つ専用のユーザー アカウントを作成することを推奨します:
- 統合
- 新規ユーザーの作成
- ユーザーの編集
- ユーザーの削除
- グループの作成・編集・削除
- グループ メンバーの管理
- 新しいユーザーでログイン
- ディベロッパー向けAPI キーを作成
長期有効トークンの生成
- 6clicks で API ドキュメントを確認し、API URL を控えます:
- 次に、長期有効のアクセストークンを生成します。API ドキュメント上で /auth-api/1.0/auth/token エンドポイントの「試してみる」をクリックして直接生成できます。
API キーを指定し、IsLongLivedToken パラメーターに true を選択します。
"accessToken" パラメーターで返された値(両端の二重引用符を除去)をコピーします:
- API ドキュメント上部付近の「認可」ボタンをクリックし、上記のトークンを Bearer 値として入力してテストできます。
次に、GET /scim/users エンドポイントを試します。
リクエストを実行したら、成功の 200 応答が返ることを確認します。
Entra のプロビジョニングを 6clicks に接続する
注意: 本ガイドでは、SSO 用に事前に構成済みの既存のエンタープライズ アプリケーションを使用していることを前提としています。アプリケーションの自動プロビジョニングを 6clicks に接続できず、「Out of the box automatic provisioning」が「not supported today」と表示される場合があります。これは、Microsoft Entra の既知の制限事項が原因である可能性があります。この場合、SCIM 連携の管理に特化した新しいエンタープライズ アプリケーションを作成してください。既存のエンタープライズ アプリケーションは SSO 用として引き続き使用できます。
-
Microsoft Entra 管理センターに、少なくともアプリケーション管理者としてサインインします。
-
ID > アプリケーション > エンタープライズ アプリケーション に移動します。
- ご利用のアカウントに関連付けられた 6clicks アプリを選択します。
-
選択したアプリのユーザー アカウント プロビジョニング設定を管理するには、プロビジョニング を選択します。
- 「アプリケーションを接続」を選択します。
注意: 「アプリケーションを接続」へのリンクが表示されない場合は、上記の警告をご覧ください。 - ディベロッパー向けAPI の SCIM エンドポイントの URL を テナント URL フィールドに入力します。先ほど控えた URL の末尾に `scim/` パスを付けたものになります。
上で生成したトークンを シークレット トークン フィールドに入力します。
- 接続をテストし、成功の通知が表示されることを確認します。
- 作成 をクリックします。
ユーザー、グループ、および属性の構成
6clicks はユーザーとグループの同期をサポートします。
- Entra で ユーザーとグループ タブを選択
- 必要に応じてユーザーとグループを追加
- 属性マッピング に移動
- Microsoft Entra ID ユーザーをプロビジョニング を選択
- 次のマッピング構成になっていることを確認してください。
アプリケーション属性 Microsoft Entra ID 属性 優先度 emails[type eq "work"].value mail 1 userName userPrincipalName 2 active Switch([IsSoftDeleted], , "False", "True", "True", "False") name.givenName givenName name.familyName surname externalId objectId - 属性マッピング に戻る
- Microsoft Entra ID グループをプロビジョニング を選択
- 次のマッピング構成になっていることを確認してください。
アプリケーション属性 Microsoft Entra ID 属性 優先度 displayName displayName 1 externalId objectId members members - オンデマンド プロビジョニング 機能を使用してプロビジョニングをテストできます。
-
構成が完了したら、左側のパネルで 概要 を選択します。
-
プロパティ を選択します。
-
鉛筆アイコンを選択してプロパティを編集します。通知メールを有効にし、隔離メールを受け取る管理者のメール アドレスを指定します。
-
組織に適したしきい値で誤削除防止を有効にすることを推奨します。適用 をクリックして変更を保存します。
-
プロビジョニングの開始 を選択して、Microsoft Entra のプロビジョニング サービスを開始します。
サポートされる同期
次の表は、現在同期でサポートされているデータの種類を示します。
| 操作 | プロパティ |
| グループ | |
| 作成 | 表示名 |
| 更新 | 表示名 メンバーシップ |
| 削除 | |
| ロール | |
| 作成 | 表示名 ロールの権限は 6clicks 側で構成する必要があります。 |
| 更新 |
表示名 |
| 削除 |
|
| ユーザー | |
| 作成 | ユーザー名 メール アドレス(プライマリのみ) 名 姓 有効 |
| 更新 | 名 姓 有効 メール アドレスとユーザー名の更新は現在サポートされていません。 |
| 削除 |
注意事項
- 今後 1 年以内に API トークンを再生成するスケジュールを立てることが重要です。6clicks では現在、トークンの有効期限が近づいても通知は行われません。
- API キーまたはその関連ユーザーを削除する、またはユーザーから必要な権限を削除すると、対応するトークンは無効になります。
- ユーザーおよびグループ メンバーシップの同期が失敗する要因はいくつかあります。こうした失敗に備え、Entra のメール通知を監視することが重要です。