このトピックでは、System for Cross-domain Identity Management (SCIM) プロトコルを使用して Alibaba Cloud IDaaS (EIAM) からアカウントをプロビジョニングする方法について説明します。標準の SCIM インターフェイスを使用すると、ユーザーおよび組織のデータをサードパーティのアプリケーションに効率的に同期できます。このプロセスにより、ID 管理が簡素化され、運用効率が向上します。このトピックでは、システム間で ID 情報を迅速に統合するのに役立つ構成手順、API 呼び出し、および重要な注意事項について説明します。
注意事項
SCIM 仕様は組織の同期をサポートしていないため、IDaaS (EIAM) は組織をダウンストリームアプリケーションに同期できません。
IDaaS (EIAM) は、グループとアカウントの両方の同期をサポートしています。ただし、それらをダウンストリームアプリケーションに同期する機能は、そのアプリケーションの統合機能に依存します。たとえば、Alibaba Cloud RAM はアカウントの同期のみをサポートしますが、Alibaba Cloud CloudSSO はアカウントとグループの両方の同期をサポートします。
RAM は大文字と小文字を区別しません。SCIM を使用してアカウントを RAM または CloudSSO に同期する際の競合を防ぐために、アカウントフィールドの値は同期前に小文字に変換されます。
構成方法
[アプリケーション管理] タブの [アカウント同期] で、同期方法として SCIM プロトコルを選択します。これにより、SCIM プロトコルをサポートするアプリケーションにアカウントを同期できます。
SCIM 同期を構成するには、IDaaS とターゲットアプリケーションの両方で構成を実行する必要があります。たとえば、Alibaba Cloud Resource Access Management (RAM) または CloudSSO にアカウントを同期するには、これらのアプリケーションのドキュメントとこのトピックをご参照ください。別のアカウントにアカウントを同期する場合は、そのアプリケーションの SCIM 同期ガイドを見つけて、このトピックと併せて使用してください。
アプリケーション | ドキュメント |
Alibaba Cloud CloudSSO |
SCIM 同期を構成するプロセスは、イベントベースのコールバックを構成するプロセスと似ています。まず、同期範囲を指定し、次に SCIM クライアントパラメーターを構成します。
次の表でパラメーターについて説明します。
新しいフィールド | 説明 |
アウトバウンド IP | IDaaS のアウトバウンド IP アドレスをセキュリティ設定の許可リストに追加します。これにより、IDaaS リクエストが受信者に確実に届くようになります。 |
SCIM ベース URL | SCIM 同期リクエストを受信するクライアントのアドレスを入力します。 たとえば、Alibaba Cloud RAM の SCIM ベース URL は https://scim.aliyun.com に固定されています。 |
権限付与 | SCIM クライアントによって、必要な権限付与方法が異なる場合があります。IDaaS は [OAuth クライアントモード] と [キーモード] をサポートしています。クライアントの要件に基づいてこのパラメーターを構成します。 たとえば、Alibaba Cloud RAM は、次の図に示すように、OAuth クライアントモードをサポートして SCIM リクエストを承認します。
|
呼び出す操作 | 特定の変更イベントをサブスクライブして、インスタントプッシュ通知を受信します。 IDaaS でサブスクライブした変更が発生すると、同期が自動的にトリガーされ、アプリケーションが更新されます。
説明 選択した操作は、増分同期と完全同期の両方に適用されます。 |
完全プッシュ範囲 | 完全プッシュ (完全同期) を実行すると、アプリケーションの同期範囲内で選択したタイプのデータのみがダウンストリームアプリケーションにプッシュされます。たとえば、アカウントデータのみをプッシュするように選択できます。
説明 この範囲は完全同期にのみ適用され、増分同期には適用されません。 |
フィールドマッピング | SCIM 同期プロセスのフィールドマッピングを表示および編集できます。
|
構成を保存した後、[接続性のテスト] をクリックして、構成が正しいことを確認します。
必要に応じて、ワンクリックプッシュ機能を使用して、範囲内のすべてのアカウントを一度にアプリケーションに同期できます。
IDaaS (EIAM) SCIM サポート状況
プラットフォーム | SCIM サポート | 既存ユーザーの取得をサポート | 既存ユーザーの変更をサポート | 既存ユーザーの関連付けに成功 |
Alibaba Cloud RAM | サポート | サポート | 非サポート | 非サポート |
Alibaba Cloud CloudSSO | サポート | 非サポート | 非サポート | サポート (CloudSSO の同一名に対する上書きロジックにより暗黙的にサポート) |
Huawei Cloud IAM | 非サポート | |||
Huawei Cloud IAM Identity Center | サポート | サポート | サポート | サポート |
Tencent Cloud CAM | 非サポート | |||
Tencent Cloud Group Management | サポート | サポート | サポート | サポート (ユーザー名は変更不可) |
Volcengine IAM | 非サポート | |||
Volcengine Cloud Identity Center | サポート | 非サポート | 非サポート | 非サポート |
AWS/International Site IAM | 非サポート | |||
AWS/International Site IAM Identity Center | サポート | サポート | サポート | サポート |