Provisioning
Overview
SCIM(System for Cross-domain Identity Management) は、ユーザー識別情報を管理するために設計されたオープン標準プロトコルで、ユーザーとグループを表す定義されたスキーマと該当ユーザーおよびグループリソースにCRUD(生成、読み取り、更新、削除)作業を実行するRESTful APIを提供します。 組織で使用するアカウントシステムを連動させて、組織内のユーザーおよびグループに該当するAttribute(属性)および現況をアカウントシステムで反映された即座にQueryPieに同期できます。
アカウントシステムSCIM同期を通じたユーザー管理
QueryPieでは、Auth Providerというフィールドを基にユーザーの台帳を定義します。 該当Auth Providerは、Administrator > General > User Management > Authenticationメニューで設定した外部アカウントシステムタイプに従います。
Administrator > General > User Management > Provisioning
一般的なSCIM連動APIでは該当主体を把握できませんので、SCIM APIが呼び出されてユーザーが生成されると、Auth Providerは該当Authentication Typeに従います。 したがって、より円滑なアカウントフロー管理のためにSSOアカウントシステム連動の手順を先に進行することをお勧めします。 これに伴うシステム動作は以下の通りです。
- Authentication未設定(Default: Internal Database)
- SCIM APIによって生成されたユーザーまたはグループのAuth Providerは「QueryPie」になり、一般的なbulk importの概念で動作します。
- ローカルQueryPieアカウントと同様に管理され、QueryPieで該当ユーザーに対する編集、削除が可能です。
- Authentication設定(例:Okta)
- SCIM APIによって生成されたユーザーまたはグループのAuth Providerは該当Identity Provider(IdP)で表記され、ユーザーのAttributeプロファイル管理はAdministrator > General > User Management > Profile Editorの基準で更新管理されます。
- 既存ローカルQueryPieアカウントにUsername(loginId)が同じユーザーの情報がSCIM APIで更新呼び出しを受けると、該当ユーザーのプロファイルがIdPに合わせて修正されますが、QueryPie内付与権限の維持を目的として優先的にAuth Providerが該当IdPに変更されません。(9.19.0基準)
- 依然としてローカルQueryPieアカウントと同様にQueryPieで該当ユーザーに対するプロファイルおよび現況編集、削除が可能です。
- 実際の一貫性維持のためにユーザーのライフサイクル管理はIdPで進行することをお勧めします。
- 同期されたユーザーはQueryPie内で変更および削除が不可能です。
SCIMアカウントシステム連動ガイドショートカット
Last updated on