Strategy One
Library Server を SCIM 2.0 サービスプロバイダーとして設定する
Strategy One(2025年9月)では、System for Cross-Domain Identity Management(SCIM)2.0プロトコルのサポートが追加されました。このプロトコルにより、サードパーティのアイデンティティプロバイダーは、標準のREST API リクエストのリストを使用してLibrary サーバー上のユーザーとグループを自動的にプロビジョニングおよび管理できます。この追加には以下の機能が含まれています:
-
ユーザーとグループのインポートと同期のサポート
-
OktaやAzureなどのアイデンティティプロバイダーで認定済み
-
Bearer認証のサポート
前提条件
-
アイデンティティプロバイダーがBearer認証でSCIM 2.0プロビジョニングをサポートしていること。
-
Library サーバーが、アイデンティティプロバイダーがネットワークリクエストを送信できるネットワークでホストされていること。
-
管理者アカウントには、以下のServer - Intelligence権限が必要です:
-
Bypass all object security access checks
-
Create and edit users and groups
-
Configure security settings
-
Enable user
-
Administer environment
-
Use Workstation
-
Workstation でSCIM 2.0サービスを有効化および設定する
-
Workstationウィンドウを開き、環境に接続してください。
-
環境を右クリックし、Configure Enterprise SecurityとConfigure SCIMを選択してください。
-
Bearer Tokenで、ドロップダウンリストからトークンの有効期限を選択し、Generateをクリックしてください。
-
Base URLとBearer Tokenの隣にあるCopyをクリックしてください。これらの値を使用してアイデンティティプロバイダーのプロビジョニングを設定してください。
-
SCIMを使用して作成されたユーザーまたはグループの属性マッピングをカスタマイズしてください:
ユーザー属性マップ
-
Trust ID。このフィールドは必須です。
-
スキーマ:
urn:ietf:params:scim:schemas:core:2.0:User -
属性:
userName
-
-
Distinguished Name。このフィールドはオプションです。
-
スキーマ:
urn:itef:params:scim:schemas:extension:strategy:2.0:User -
属性:
distinguishedName
-
グループ属性マップ
-
Distinguished Name。このフィールドはオプションです。
-
スキーマ:
urn:ietf:params:scim:schemas:extension:strategy:2.0:Group -
属性:
distinguishedName
-
ほとんどのSCIMユーザー/グループ属性は、Intelligence Serverユーザー/グループ属性への固定マッピングを持っています。アイデンティティプロバイダー設定でマッピングをカスタマイズできます。属性マッピングリストについては、SCIM 2.0 属性マッピングを参照してください。
-
-
Web ServerとIntelligence Server間の信頼関係がない場合は、Create Trusted Relationshipをクリックしてください。
信頼関係を作成または削除した後は、Library serverを再起動する必要があります。
-
Enable SCIMの隣のチェックボックスを選択し、Saveをクリックしてください。
アイデンティティプロバイダーでSCIM 2.0プロビジョニングを設定する
アイデンティティプロバイダーの設定はベンダーによって異なりますが、すべてのプロバイダーはWorkstationから以下の情報を必要とします:
-
SCIM Base URL:SCIM API呼び出しのベースURL。
-
SCIM Bearer Token:SCIM API認証用のトークン。
アイデンティティプロバイダーでは、多くの場合、システムからSCIM属性へのユーザーとグループ属性のマッピングが可能です。ユーザーとグループ属性をマップすると、ユーザー情報がIntelligence serverにインポートされます。
たとえば、Strategy Library SCIM APIを異なるアイデンティティプロバイダーに統合する以下のトピックを参照してください:
SCIM 2.0 属性マッピング
Intelligence ServerとSCIM 2.0間の以下の事前定義されたユーザーとグループ属性マッピングを参照してください。
サポートされているスキーマ
Strategyは、3つの標準と2つのカスタムユーザー/グループスキーマからの属性読み取りをサポートしています:
|
スキーマタイプ |
スキーマ |
説明 |
|---|---|---|
|
ユーザー |
urn:ietf:params:scim:schemas:core:2.0:User |
SCIM 2.0コアユーザースキーマ |
|
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User |
SCIM 2.0エンタープライズユーザースキーマ |
|
|
urn:ietf:params:scim:schemas:extension:strategy:2.0:User |
Strategy Libraryからのカスタムユーザースキーマ |
|
|
グループ |
urn:ietf:params:scim:schemas:core:2.0:Group |
SCIM 2.0コアグループスキーマ |
|
urn:ietf:params:scim:schemas:extension:strategy:2.0:Group |
Strategy Libraryからのカスタムグループスキーマ |
サポートされているユーザー属性
Library serverは、インポートと同期中に以下のSCIM属性からユーザー情報をマップします:
|
Libraryユーザー属性 |
対象SCIM属性スキーマ |
対象SCIM属性 |
|---|---|---|
|
オブジェクトID |
urn:ietf:params:scim:schemas:core:2.0:User |
id |
|
作成時刻 |
urn:ietf:params:scim:schemas:core:2.0:User |
meta.created |
| 更新時刻 |
urn:ietf:params:scim:schemas:core:2.0:User |
meta.lastModified |
| ユーザー名(ログイン) |
urn:ietf:params:scim:schemas:core:2.0:User |
userName |
|
フルネーム |
urn:ietf:params:scim:schemas:core:2.0:User |
displayName |
| 有効なユーザー |
urn:ietf:params:scim:schemas:core:2.0:User |
active |
| メールアドレス |
urn:ietf:params:scim:schemas:core:2.0:User |
emails[primary eq true].value または プライマリメールが見つからない場合は emails[0].value id |
Library serverは、以下のユーザー属性のカスタムマッピングも許可します:
|
Libraryユーザー属性 |
対象SCIM属性スキーマ |
対象SCIM属性 |
|---|---|---|
|
信頼された認証リクエストユーザーID |
urn:ietf:params:scim:schemas:core:2.0:User |
userName |
|
LDAP識別名(DN) |
urn:ietf:params:scim:schemas:extension:2.0:User |
distinguishedName |
信頼された認証リクエストユーザーIDは必須のIntelligence Server属性です。ユーザー同期中に対応するSCIM属性を常に渡してください。
サポートされているグループ属性
Library serverは、グループインポートと同期中に以下のSCIM属性からグループ情報をマップします:
|
Libraryグループ属性 |
対象SCIM属性スキーマ |
対象SCIM属性 |
|---|---|---|
|
オブジェクトID |
urn:ietf:params:scim:schemas:core:2.0:Group |
id |
|
作成時刻 |
urn:ietf:params:scim:schemas:core:2.0:Group |
meta.created |
| 更新時刻 |
urn:ietf:params:scim:schemas:core:2.0:Group |
meta.lastModified |
|
ユーザーグループ名 |
urn:ietf:params:scim:schemas:core:2.0:Group |
displayName |
Library serverは、いくつかのグループ属性のカスタムマッピングを許可します:
|
Libraryグループ属性 |
デフォルト対象SCIM属性スキーマ |
デフォルト対象SCIM属性 |
|---|---|---|
|
LDAP識別名(DN) |
urn:ietf:params:scim:schemas:extension:strategy:2.0:Group |
distinguishedName |
SCIM APIの既知の制限
Intelligence Serverユーザー/グループの制限
Intelligence Serverサードパーティユーザー/グループ属性の要件には以下が含まれます:
-
フルネームには、\、"、[]、または . などの特殊文字を含めることはできません。
-
Trust IDは一意である必要があり、nullまたは空にはできません。
-
ユーザーメールはnullまたは空にはできません。
-
SCIM APIはユーザーごとに1つのメールを保存します。
-
属性マッピングのカスタマイズは、複合属性タイプのサブ属性のマッピングをサポートしていません(例:
name.familyName)
SCIMエンドポイントの制限
GET Users
-
Trust IDを持つユーザーのみが返されます。
-
ソートパラメーター(例:
sortByまたはsortOrder)はサポートされていません。 -
ページング(count)では、デフォルト値は
1000で、最大値は10000です。 -
フィルターパラメーターは
userName eq <value>のみをサポートします。 -
レスポンスの
totalResults値は正確な数値ではありません。これは、より多くのユーザーが存在するかどうかを示します。
GET Groups
-
ソートパラメーター(例:
sortByまたはsortOrder)はサポートされていません。 -
ページング(count)では、デフォルト値は
1000で、最大値は10000です。 -
フィルターパラメーターは
displayName eq <value>のみをサポートします。 -
レスポンスの
totalResults値は正確な数値ではありません。これは、より多くのユーザーが存在するかどうかを示します。 -
メンバーは、
displayNameフィルターまたはattributesパラメーターのメンバーが定義されている場合にのみデフォルトで返されます。
PATCH Users/Groups
複合値/パスフィルターはサポートされていません。これらのフィルターを使用すると、400ステータスコードとinvalidValueエラーが返されます。
SCIMエンドポイントによるユーザー削除の動作
SCIMエンドポイントによってユーザーが削除された場合:
-
Intelligence Serverはすべてのプロファイルを削除しません。
-
Intelligence Serverはプロファイル内のユーザーのコンテンツを削除しませんが、ファイルの所有者は管理者に更新されます。
-
サブスクリプションの受信者が削除されたユーザーのみの場合、サブスクリプションも削除されます。
-
サブスクリプションの受信者が削除されたユーザーと他のユーザーの場合、削除されたユーザーは受信者リストから削除されます。