Docs/SCIMプロビジョニング/Okta SCIM設定

Okta SCIM設定

SCIM 2.0を使用してOktaからSecureCodingHubへの自動ユーザーおよびグループプロビジョニングを構成します。

前提条件

  • Okta管理者アカウント
  • SecureCodingHub組織管理者アカウント
  • SSOの構成 (推奨ですが必須ではありません)

ステップ1 — SCIMトークンを生成

1

組織管理者としてSecureCodingHubにログイン

2

設定SCIMに移動

3

トークンを生成をクリック

4

トークンをコピー — 一度だけ表示されます

ステップ2 — OktaでSCIMを構成

1

Okta AdminApplications → SecureCodingHubアプリに移動

2

Provisioningタブ → Configure API Integrationに移動

3

Enable API integrationをチェック

4

SCIMコネクタベースURL: https://api.limeplate.com/api/sch/scim/v2

5

一意の識別子フィールド: email

6

API Token: SCIMトークンを貼り付け

7

Test API Credentialsをクリック — 「Verified」が表示されるはず

8

保存

ステップ3 — プロビジョニング機能を有効化

完全なライフサイクル管理のために、Oktaで次のプロビジョニング機能を有効にします:

機能推奨
Create Users有効化
Update User Attributes有効化
Deactivate Users有効化
Push Groups有効化 — チームを同期

ステップ4 — プロビジョニングをテスト

1

Oktaでテストユーザーをアプリに割り当て

2

SecureCodingHubユーザーページを確認 — ユーザーが表示されるはず

3

Oktaでユーザーの名前を更新 → SecureCodingHubで更新されることを確認

4

Oktaのアプリからユーザーを削除 → ユーザーが非アクティブ化されることを確認

SecureCodingHubのSCIM設定

管理者設定でSCIM構成パネルは次のようになります:

app.securecodinghub.com/organization/sso
シングルサインオン
SCIMプロビジョニングはSSOと同じページにあります — SCIMセクションまでスクロールしてください。
SCIM 2.0プロビジョニング
IdPからユーザーとグループを自動同期
有効
https://api.limeplate.com/api/sch/scim/v2
schscim_a1b2c3d4e5f67890abcdef1234567890
2分前に作成 · 0回使用
最近のプロビジョニング活動
過去24時間
作成james.park@acme.com2012分前
更新sarah.chen@acme.com2008分前
グループBackend Team → +2メンバー20011分前

Okta SCIMのデプロイ前チェックリスト

Oktaのプロビジョニングパネルで保存をクリックする前に、短い検証チェックリストを順を追って確認してください。第1に、SCIMコネクタベースURLがSCIM概要ページに文書化された正確な値であることを確認してください。末尾のスラッシュ、不足しているバージョンパスセグメント、または誤ったリージョンを指すと、Oktaが一般的な認証情報エラーとして表示する混乱を招く404レスポンスが生成されます。第2に、貼り付けたSCIMトークンが、生成したばかりのものであり、部分的にコピーされた文字列ではないことを確認します。SCIMトークンは長く、モーダルからコピーするときに切り捨てられやすいです。

第3に、トークンを正しいSecureCodingHub組織にスコープします。テナントに複数の組織がある場合、トークンはそれを生成した組織にバインドされ、別の組織にユーザーをプロビジョニングしません。第4に、プロビジョニングを有効にする前に属性マッピングを計画します。userNameがuserPrincipalNameまたはmailにマップされるべきかを決定します。ほとんどのOktaテナントではこれらは同一ですが、プロキシアドレスまたは複数ドメイン構成を持つ組織では分岐します。ユーザーがサインインするメールに一致する値を選択してください。そうしないと、SSOとSCIMは重複アカウントを作成します。

最初の同期を見る

成功した最初の同期は何事もありません。Oktaで、Provisioningに移動し、Logsタブを見ます。Create userイベントのシーケンスがステータスSuccessに解決されるのを見るはずで、それぞれにSecureCodingHubエンドポイントからの201レスポンスがあります。SecureCodingHub側では、新しいユーザーがメールと表示名が入力された状態でユーザーページに表示されます。最初の同期の合計時間は、割り当て数とOktaキューの深さに依存しますが、小さなパイロットグループの場合通常2分以内です。

失敗した属性マッピングは異なって見えます。OktaはCreate userをFailedとして報告し、ログエントリにはSCIMエラーレスポンスが含まれ、最も一般的なメッセージは必須属性の欠落または無効な形式を示す400です。Provisioningタブでマッピングを修正し、Retry Failed Operationsをクリックし、次のサイクルが完了するのを見ます。エラーが続く場合は、新しいトークンを生成し、ベースURLを再確認し、割り当てたユーザーがマッピングが参照する属性に値を持っていることを確認します。