すべてのプロダクト
Search

このプロダクト

    Resource Access Management:SCIM を使用した Okta ユーザーの RAM へのプロビジョニング

    ドキュメントセンター

    Resource Access Management:SCIM を使用した Okta ユーザーの RAM へのプロビジョニング

    最終更新日:Mar 26, 2026

    System for Cross-domain Identity Management (SCIM) 2.0 プロトコルと Alibaba Cloud OAuth アプリケーションのセキュアな権限付与を使用することで、Okta から Alibaba Cloud Resource Access Management (RAM) へユーザーをプロビジョニングできます。

    前提条件

    • RAM コンソールでのすべての操作は、RAM 管理者または OAuth 管理権限を持つ RAM ユーザーとして実行します。

    • Okta でのすべての操作には、Okta 管理者 (スーパー管理者) アカウントを使用します。

    背景情報

    • ユーザー作成:Okta でユーザーをアプリケーションに割り当てると、同じユーザー名を持つ RAM ユーザーが自動的に作成されます。Okta ユーザー名のドメイン名サフィックスは、RAM ユーザーのドメイン名に自動的に置き換えられます。

    • ユーザー属性の更新:Okta でユーザー属性を変更すると、対応する RAM ユーザー属性が自動的に更新されます。この特徴量は、Okta で属性の自動更新が有効になっているかどうかによって異なります。現在、UserName と DisplayName のみがサポートされています。

    • ユーザーの非アクティブ化:Okta でユーザーを削除するか、アプリケーションからユーザーの割り当てを解除すると、Okta はユーザーのステータスを"active=false" に設定します。RAM ユーザーにはアクティブまたは非アクティブな状態がないため、このステータス変更は Alibaba Cloud に同期されません。RAM ユーザーは変更されません。

    • Okta ユーザーグループの同期はサポートされていません。

    ステップ 1: OAuth アプリケーションの作成と権限付与

    1. OAuth アプリケーションを作成します。

      1. RAM コンソールにログインします。

      2. 左側のナビゲーションウィンドウで、[Integrations] > [OAuth Preview] を選択します。

      3. [エンタープライズアプリケーション] タブで、[アプリケーションの作成] をクリックします。

      4. [アプリケーションの作成] ページで、アプリケーションパラメーターを設定します。

        1. [アプリケーション名][表示名] を入力します。

        2. [アプリケーションタイプ][ネイティブアプリケーション] に設定します。

        3. [アクセストークンの有効期間]」を設定します。

        4. [リフレッシュトークンの有効期間] の期間を設定します。

      5. [アプリケーションの作成] をクリックします。

    2. アプリケーションにスコープを付与します。

      1. [エンタープライズアプリケーション]」タブで、対象アプリケーションの名前をクリックします。

      2. [OAuth Scope] タブで、[Add OAuth Scope] をクリックします。

      3. OAuth スコープの追加」パネルで、「/acs/scim」を選択します。

      4. [OK] をクリックします。

    3. アプリケーションシークレットを作成します。

      1. [アプリケーション シークレット] タブをクリックし、次に [シークレットの作成] をクリックします。

      2. シークレットの作成」ダイアログボックスで、アプリケーションシークレットを表示してコピーし、次に [閉じる] をクリックします。

        重要

        アプリケーションシークレットの値 ([AppSecretValue]) は、作成時にのみ表示され、後で取得することはできません。 必ずシークレットを安全な場所に保存してください。

    ステップ 2: Okta でアプリケーションを作成する

    1. Okta ポータルにログインします。

    2. 左側のナビゲーションウィンドウで、[Applications] > [Applications] を選択します。

    3. アプリケーション」ページで、「アプリケーション統合の作成」をクリックします。

    4. [新規アプリ統合の作成] ダイアログボックスで、 [SAML 2.0] を選択し、[次へ] をクリックします。

    5. 一般設定」ステップで、「アプリケーション名」フィールドに AliyunSSODemo などのアプリケーション名を入力し、「次へ」をクリックします。

    6. SAML の設定」ステップで、[SAML 設定] セクションの以下のパラメーターを設定し、[次へ] をクリックします。

      • [シングルサインオン URL]: ステップ 1 で記録した Location 値を入力します。

      • [対象 URI (SP エンティティ ID)]:手順 1 で記録した entityID の値を入力します。

      • デフォルト RelayState:SSO ログインが成功した後にユーザーがリダイレクトされる Alibaba Cloud コンソールページを指定します。この項目が空の場合、ユーザーは Alibaba Cloud 管理コンソールのホームページにリダイレクトされます。

        説明

        セキュリティ上の理由から、[Default RelayState] の URL は、*.aliyun.com、*.hichina.com、*.yunos.com、*.taobao.com、*.tmall.com、*.alibabacloud.com、または *.alipay.com のような Alibaba が所有するドメイン名に属している必要があります。承認されていないドメイン名の URL を指定した場合、[Default RelayState] は無視されます。

      • [名前 ID フォーマット:] [永続的] を選択します。

      • アプリケーションユーザー名: [Email] を選択します。

    7. フィードバック」ページで、要件に応じてアプリケーション タイプを選択し、「完了」をクリックします。

    ステップ 3: Okta での SCIM プロビジョニングの構成

    1. SCIM プロビジョニングを有効にします。

      1. 手順 2: Okta でアプリケーションを作成する」で作成したアプリケーションで、[全般] タブをクリックします。

      2. [アプリ設定] セクションで、[編集] をクリックします。

      3. [SCIM プロビジョニングを有効化] を選択し、次に [保存] をクリックします。

    2. SCIM 接続パラメーターを構成します。

      1. プロビジョニング]タブをクリックします。

      2. 左側のナビゲーションウィンドウで、[統合] をクリックします。

      3. [SCIM 接続] セクションで、[編集] をクリックし、次のパラメーターを設定します。

        • [SCIM コネクタ ベース URL]: https://scim.aliyun.com を入力します。

        • ユーザーの固有識別子フィールド: userName を入力します。

        • サポートされているプロビジョニングアクション: [新規ユーザーのインポートとプロファイルの更新][新規ユーザーのプッシュ] を選択します。

          説明

          [プロファイル更新のプッシュ] は、ユーザー属性への自動更新を有効にするオプション設定です。

        • 認証モード: [OAuth 2] を選択します。

      4. OAuth 2.0 パラメーターを構成します。

      5. [保存] をクリックします。

    3. コールバック URL を取得します。

      1. [プロビジョニング]」タブで、左側のナビゲーションウィンドウの「[統合]」をクリックします。

      2. ページの下部で、Xxx で認証 をクリックします。

      3. 表示されたページで、コールバック URL をコピーします。

      4. Alibaba Cloud RAM コンソールにログインし、ステップ 1: OAuth アプリケーションの作成と権限付与で作成したアプリケーションにコールバック URL を追加します。

      5. Okta の構成ページに戻り、[xxx で認証] をクリックします。プロンプトが表示されたら、Alibaba Cloud コンソールにログオンして検証を完了します。

    4. ユーザープロビジョニング設定を構成します。

      1. [プロビジョニング] タブで、左側のナビゲーションウィンドウの [アプリへ] をクリックします。

      2. [アプリケーションへのプロビジョニング] セクションで、[編集] をクリックします。

      3. ユーザーの作成」セクションで、[有効化] を選択し、次に [保存] をクリックします。

        説明

        [SCIM 接続][プロファイル更新のプッシュ] が設定されている場合は、ここでも [プロファイル更新のプッシュ][有効] に設定する必要があります。

      4. [<App Name> 属性マッピング] セクションで、属性マッピングを設定します。不要な属性を削除し、以下の図に示されている属性のみを保持します。

        83f45d68d4356cebde3339768163c69e.png

      5. [サインオン] タブで、[編集] をクリックします。

      6. [アプリケーションユーザー名フォーマット][Okta ユーザー名プレフィックス] に設定して、[保存] をクリックします。

    5. ユーザーをアプリケーションに割り当てます。

      1. 割り当て」タブで、[割り当て] をクリックします。

      2. ユーザーを割り当てるには、[ユーザーに割り当て] をクリックします。

    説明

    同期中にエラーが発生した場合、[ログの表示] をクリックしてログの詳細を表示し、問題を解決できます。

    結果の検証

    前述の手順を完了すると、Okta ユーザーが自動的に RAM に同期されます。RAM コンソールにログインして、RAM ユーザー一覧で同期されたユーザーを表示できます。その[同期タイプ][SCIM ユーザー同期]です。