プロビジョニング

概要

SCIM（System for Cross-domain Identity Management ）は、ユーザー ID 情報を管理するために設計されたオープンスタンダードのプロトコルである。SCIM は、ユーザーとグループを表現するために定義されたスキーマを提供し、これらのユーザーとグループのリソースに対して CRUD (作成、読み取り、更新、削除) 操作を実行するための RESTful API を提供します。組織内で使用されているアカウントシステムと統合することで、ユーザやグループに関連する属性やステータスを、アカウントシステムで更新されるたびにリアルタイムで QueryPie に同期させることができます。

SCIM 同期によるユーザー管理

QueryPieでは、ユーザのソースオブトゥルースは Auth Provider と呼ばれるフィールドに基づいて定義されます。この Auth Provider は、Administrator > General > User Management > Authentication で設定された外部アカウントシステムタイプに従います。

一般的な SCIM 統合 API はプリンシパルを識別できないため、SCIM API が呼び出され、ユーザが作成されると、Auth Provider は Authentication Type に従う。したがって、よりスムーズなアカウントフロー管理のためには 認証ステップを最初に完了することを推奨する。システムは以下のように動作する：

• 認証が設定されていない場合（デフォルト：内部データベース）

  • SCIM API 経由で作成されたユーザまたはグループの認証プロバイダは "QueryPie "に設定され、一般的なバルクインポートの概念で動作します。

  • これらはローカルの QueryPie アカウントと同様に管理され、QueryPie 内でユーザを編集および削除することができます。

• 認証が設定されている場合（Oktaなど）

  • SCIM API 経由で作成されたユーザーまたはグループの Auth Provider は、それぞれの Identity Provider（IdP）としてマークされ、ユーザー属性プロファイルは、Administrator > General > User Management > Profile Editor に従って更新および管理されます。

  • 既存のローカル QueryPie アカウントが、SCIM API 経由で更新されたユーザーと同じユーザー名（loginId）を持つ場合、ユーザーのプロファイルは IdP に合わせて変更されます。ただし、QueryPie 内で付与されたパーミッションを維持するため、Auth Provider はこの時点で IdP に変更しません（バージョン 9.19.0 現在）。

    • ローカルの QueryPie アカウントと同様に、これらのアカウントは QueryPie 内でプロファイルの編集、ステータスの更新、およびアカウントの削除をローカルで管理できます。

    • 一貫性を保つため、ユーザのライフサイクル管理は IdP を通じて行うことが推奨されます。

  • 同期されたユーザは、QueryPie 内で変更または削除できません。

SCIM Provisioning Integration Guideへのアクセス

• プロビジョニングの有効化

• [Okta] プロビジョニング統合の手順