WeCom (企業微信) を SASE に接続すると、会社の組織構造を同期し、従業員が既存の WeCom アカウントを使用して SASE App にログインできるようになります。接続設定後、次のことが可能になります。
WeCom の組織構造と従業員情報を SASE に自動同期
既存の WeCom グループとユーザーに基づいて、ID駆動型セキュリティポリシーを適用
SASE での手動ユーザープロビジョニングを排除
使用制限
最大 5 つの IDソースを同時に有効にできます。
5 つのうち 1 つのみがカスタム IDソースにできます。
制限に達した場合は、新しい IDソースを有効にする前に、既存の IDソースを無効にしてください。
前提条件
開始する前に、次のものがあることを確認してください。
WeCom 管理者アカウント — 認証 QR コードのスキャンに必要です。
ご利用の組織の Schema 値 — 開始する前に、SASE エンジニアに連絡してこの値を取得するために チケットを送信 してください。
WeCom IDソースの設定
ステップ 1: SASE での IdP 作成
SASE コンソール にログインします。
ナビゲーションウィンドウで、ID 認証 > ID アクセス を選択します。
「[ID 同期]」タブで、「[IdP の作成]」をクリックします。
[IdP の作成] パネルで、[WeCom] を選択し、[設定] をクリックし、以下のパラメーターを設定します。
パラメーター 説明 IdP name WeCom IDソースの表示名です。2~100 文字で、中国語の文字、英字、数字、ハイフン (-)、アンダースコア (_) を含めることができます。 Description SASE クライアントのログインタイトルとして表示される説明で、ログイン時に IDソースのコンテキストを提供します。 IdP status 作成後に IDソースがアクティブかどうかを示します。[Enabled]: すぐにアクティブになります。[Closed]: 作成後に非アクティブになります。 重要IDソースを無効にすると、従業員は SASE App を使用して内部アプリケーションにアクセスできなくなります。
Automatic synchronization 有効にすると、システムは設定された間隔で WeCom から組織構造を自動的に同期します。無効にすると、手動で同期をトリガーする必要があります。 Synchronize user information 有効にすると、従業員情報は [自動同期サイクル] に基づいて自動的に同期されます。[自動同期] が無効になっている場合、この設定は効果がありません。 Automatic synchronization cycle 同期間隔です。1 時間から 24 時間の値を設定します。 [承認用 QR コードの取得] をクリックし、WeCom 管理者アカウントを使用して QR コードをスキャンします。
権限付与が成功すると、新しい WeCom ID ソースが [ID 同期] タブに表示されます。
ステップ 2: スキーマの設定
[ID 同期] タブで、WeCom ID ソースを見つけ、[アクション] 列の [編集] をクリックします。
「[IdP の編集]」パネルで、[Schema] 値を入力します。
重要このステップの前に、チケットを提出して SASE エンジニアに連絡し、[スキーマ] の値を取得してください。
[次へ] をクリックします。
ステップ 3: 同期範囲とフィールドマッピングの設定
[同期設定] ウィザードで、以下の設定項目を設定し、[確認] をクリックします。
| パラメーター | 説明 |
|---|---|
| Organizational structure synchronization | WeCom 組織構造のどの部分を同期するかを定義します。[Synchronize all]: 組織構造全体を同期します。[Partially synchronize]: 同期する特定の部署を選択します。 |
| Field synchronization mapping | WeCom の組織構造のフィールドを SASE フィールドにマッピングします。組み込みの [マッピング後のローカルフィールド] が要件を満たさない場合は、右上隅にある [拡張フィールドを表示] をクリックして、拡張フィールドを追加、編集、または削除します。 |
ステップ 4: WeCom アプリの可視性範囲の設定
WeCom ID ソースを追加すると、SASE は WeCom に自己管理アプリケーションを自動的に作成します。組織構造が SASE に正しく同期されるように、WeCom でこのアプリケーションの[可視性範囲]を設定します。
可視性範囲の設定手順については、「サードパーティアプリケーションの可視性範囲を設定する方法」をご参照ください。
同期レコードの表示
[ID 同期] タブで ID ソースを探し、[アクション] 列の [レコードの同期] をクリックします。
[同期レコード] ページで、左側の [同期タスク] エリアのタスクをクリックすると、右側にその詳細が表示されます。
「[操作]」列の[詳細]をクリックして、その同期におけるサードパーティデータソースとSASE データソースのフィールドレベルの比較を表示します。
手動同期
ID ソースを設定する際に[自動同期]を有効にしなかった場合、または組織構造が変更され即時の同期が必要な場合は、[同期タスクの作成]をクリックし、次に[OK]をクリックします。同期レコードを表示する前に、タスクが完了するまで待ちます。
同期が完了したら、[ID 認証] > [ID アクセス] > [従業員センター] タブで、同期された組織構造と従業員情報を表示できます。 詳細については、「従業員センター」をご参照ください。
自動同期の無効化
次のいずれかの方法を使用します。
[ID同期] タブで IDソースを見つけ、[自動同期] 列のスイッチをオフにします。
[IdP の編集] パネルで、自動同期スイッチをオフにします。
その他の操作
| 操作 | 手順 |
|---|---|
| [編集]:WeCom ID ソース | [ID 同期] タブで、対象の WeCom ID ソースを探し、[操作] 列の [編集] をクリックします。 |
| [無効化]:WeCom ID ソース | [ID 同期] タブで、対象の WeCom ID ソースを探し、[IdP ステータス] 列のスイッチをオフにします。 |
| [削除]:WeCom ID ソース | [ID 同期] タブで、対象の WeCom ID ソースを探し、[操作] 列の [削除] をクリックします。 |
次のステップ
別の IDソースを使用
ご利用の会社が別のディレクトリサービスを使用している場合は、SASE に接続します。
SASE ID ソースの設定 — 会社で外部ディレクトリを使用していない場合は、SASE の組み込みのカスタム ID ソースを使用します。
組織構造外のユーザーの整理
部署をまたぐ、または同期された組織構造外のユーザーグループを作成するには、「ユーザーグループ管理」をご参照ください。