cybozu developer network

カテゴリー内の他の記事

Okta のユーザープロビジョニング機能を使って cybozu.com にユーザー情報を同期する

Index

概要

Okta のユーザープロビジョニング機能を使うと、Okta で管理しているユーザー情報を cybozu.com に同期できます。

この記事では、Okta のユーザープロビジョニング機能を cybozu.com で利用する方法を説明します。

ユーザープロビジョニング機能でできること

  • Okta で管理しているユーザー情報と利用サービスの情報を cybozu.com に同期します。
    たとえば、Okta にユーザーを追加すると、自動で cybozu.com にユーザーが追加され、kintone や Garoon などを利用できるようになります。
  • プロビジョニング機能は、次の操作に対応しています。
  • 同期できるユーザー情報の項目は、以下のとおりです。
    • ログイン名
    • 表示名
    • Email アドレス
    • 使用状態
  • すでに cybozu.com にユーザーを登録している場合でも、プロビジョニング機能を利用できます。

必要な環境

制限事項

  • 組織、役職、グループ(ロール)は同期できません。
  • 同期した後に cybozu.com からユーザーを削除すると、再度同期しても cybozu.com にユーザーは再作成されません。
    削除したユーザーを同期させるには、Okta でユーザーを作り直す必要があります。
  • 同期したユーザーのログイン名を変更することはできません。
    cybozu.com でユーザーを削除した後、Okta でユーザーを作り直して同期してください。

その他の制限事項は、ヘルプサイトを参照してください。

注意事項

  • 本番運用している cybozu.com で設定をする前に、必ず、本番とは別の cybozu.com の環境で事前検証を行ってください。
    お試し環境の申し込み方法は、次のページを参照してください。
    お試しはできますか?お試し方法を教えてください。
  • cybozu.com に対するアクセスを IP アドレスで制限したい場合には、Okta でのアクセス制限を検討してください。
    Okta の IP アドレスは変更される可能性があり、cybozu.com の IP アドレス許可リストに Okta の IP アドレスを設定することは推奨しません。

設定手順

設定の流れ

Okta のプロビジョニングを利用するまでの流れは、次のとおりです。

STEP1:cybozu.com の設定

  1. https://{sample}.cybozu.com/ にアクセスします。
    サブドメイン名は、お客様の環境によって異なります。
    サブドメイン名がわからない場合には、次のページを参照してください。
    契約内容を確認する
  2. cybozu.com 共通管理者のアカウントでログインします。
  3. 「cybozu.com共通管理」をクリックします。
  4. [プロビジョニング]をクリックします。
  5. [APIトークンの発行]をクリックします。
  6. 「有効期限」と「APIトークンの概要」を入力し、[発行]をクリックします。
  7. 発行された APIトークンと SCIMエンドポイントをメモに控えます。
    ダイアログを閉じると、発行された値を確認できなくなります。
  8. [閉じる]をクリックします。
  9. 「プロビジョニングの反映」を「有効」にします。

STEP2:Okta の設定

1. アプリケーションの追加

  1. https://{subdomain}.okta.com/ にアクセスします。
  2. 管理者権限のユーザーでログインします。
  3. サイドメニューの [Applications] をクリックし、[Applications] を選択します。
  4. [Browse App Catalog]をクリックします。
  5. 検索ボックスで「cybozu」を検索し、[Cybozu (cybozu.com)]を選択します。
  6. [Add]をクリックします。
  7. 「Domain Name」に同期する cybozu.com のサブドメイン名を入力します。
    cybozu.com のURL が https://example.cybozu.com/ の場合は「example」と入力してください。
  8. [Done]をクリックします。

2. cybozu.com との接続設定

  1. [Provisioning]を選択します。
  2. [Configure API Integration]をクリックします。
  3. 必要な情報を入力します。
    • Enable API integration:選択する
    • API Token:STEP1 で発行した API トークン
  4. [Test API Credentials]をクリックして、テスト接続します。
    エラーメッセージが表示されテスト接続に失敗する場合には、トラブルシューティングを参照してください。
    エラーメッセージの例:
    Error authenticating: Forbidden. Errors reported by remote server: Invalid JSON: Unexpected character
  5. 「successfully!」と表示されたら、[Save]をクリックします。
  6. 「Provisioning to App」の[Edit]をクリックします。
  7. 次の項目の「Enable」を選択します。
    • Create Users
    • Update User Attributes
    • Deactivate Users
  8. [Save]をクリックします。

3. 未契約のサービスに関する項目を削除

契約していない、cybozu.com のサービスに関する項目を削除します。
契約しているサービスに関する項目を削除してしまった場合には、設定を中断し、プロビジョニングの停止およびプロビジョニングを再開を実施してください。

  1. 「Cybozu (cybozu.com) Attribute Mappings」の[Go to Profile Editor]をクリックします。
  2. 「Attributes」に表示されるサービスのうち、契約していないサービスをすべて削除します。
    1. 削除対象のサービス名の横にある[×]をクリックします。
    2. 確認画面が表示されたら、[Delete Attribute]をクリックします。

4. ユーザーの割り当てとプロビジョニングの開始

ユーザー単位で同期する場合
  1. [Assignments]を選択します。
  2. [Assign]をクリックし、[Assign to People]を選択します。
  3. 同期対象のユーザーの横にある[Assign]をクリックします。
  4. cybozu.com のログイン名を入力します。
    • ログイン名の初期値には、ログイン名の初期値の設定で設定した値が設定されます。
    • あとからログイン名を変更することはできません。ログイン名を変更したい場合には、Okta でユーザーを再作成して同期し直す必要があります。
  5. ユーザーが利用するサービスを設定します。
    利用を許可するサービスには「Enable」を選択します。
  6. [Save and Go Back]をクリックします。
  7. 同期する対象のユーザーをすべて設定し終えたら、[Done] をクリックします。
グループ単位で設定する場合

グループに所属するユーザーのログイン名には、ログイン名の初期値の設定で設定した値が設定されます。
ログイン名をあとから変更することはできません。

  1. [Assignments]を選択します。
  2. [Assign]をクリックし、[Assign to Group]を選択します。
  3. 同期対象のグループの横にある[Assign]をクリックします。
  4. 選択したグループに所属するユーザーが利用するサービスを設定します。
    利用を許可するサービスには「Enable」を選択します。
  5. [Save and Go Back]をクリックします。
  6. 同期する対象のグループをすべて設定し終えたら、[Done] をクリックします。

その他の設定

ログイン名の初期値の設定

  1. [Sign On]を選択します。
  2. 「Settings」の[Edit]をクリックします。
  3. 「Application username format」に初期値とする項目を設定します。
    設定できる項目は次のとおりです。
    • Custom:Oktaの任意のユーザー情報
      指定できる値の詳細は、Okta Expression Language overview を参照してください。
    • Email:メールアドレス
    • Email Prefix:プレフィックス付きのメールアドレス
    • Okta username:Okta のユーザー名
    • Okta username prefix:プレフィックス付きの Okta のユーザー名
    • (None):初期値なし
      「(None)」を選択すると、グループ単位で割り当てした場合に、ログイン名を設定できないために同期が失敗します。
      グループで割り当てたあとに、一人ずつログイン名を入力する必要があります。
  4. [Save]をクリックします。

プロビジョニングの停止

プロビジョニングを停止するには、次の手順で操作します。

  1. [Provisioning]を選択し、[Integration]をクリックします。

  2. [Edit]をクリックします。

  3. 「Enable API Integration」の選択を外します。

  4. [Save]をクリックします。

プロビジョニングの再開

  • 停止中に変更した内容を cybozu.com に反映するには、Force Sync を実行してください。
  • 停止中に契約するサービスを変更した場合には、未契約のサービスに関する項目を削除してください。
    手順の詳細は、未契約のサービスに関する項目を削除を参照してください。

プロビジョニングを再開するには、次の手順で操作します。

  1. [Provisioning]を選択し、[Integration]をクリックします。
  2. [Edit]をクリックします。

  3. 「Enable API Integration」を選択します。

  4. [Save]をクリックします。

  5. [To App]を選択します。
  6. 「Provisioning to App」の[Edit]をクリックします。
  7. 次の項目で「Enable」を選択します。
    • Create Users
    • Update User Attributes
    • Deactivate Users
  8. [Save]をクリックします。

Force Sync の実行

停止中に変更した内容を、プロビジョニングの再開後に cybozu.com に反映する手順は次のとおりです。

  1. [Provisioning]をクリックします。
  2. 「Cybozu (cybozu.com) Attribute Mappings」の[Force Sync]をクリックします。

cybozu.com のユーザーを使用停止、または再開する

cybozu.comのユーザーを使用停止にするには、次の手順でユーザーの割り当てを削除するか、Okta のユーザーを停止状態にします。
ここでは、ユーザーの割り当てを削除する手順を説明します。

ユーザー単位で設定する場合

  1. [Assignments]を選択します。
  2. [People]を選択します。
  3. 停止対象のユーザーの横にある[×]をクリックします。
  4. 確認画面が表示されたら、[OK]をクリックします。

ユーザーの利用を再開するには、もう一度同期する対象のユーザーを割り当ててください。

グループ単位で設定する場合

  1. [Assignments]を選択します。
  2. [Groups]を選択します。
  3. 停止対象のグループの横にある[×]をクリックします。
  4. 確認画面が表示されたら、[OK]をクリックします。

グループに所属するユーザーの利用を再開するには、もう一度同期する対象のグループを割り当ててください。

トラブルシューティング

「Error authenticating: Forbidden. Errors reported by remote server: Invalid JSON: Unexpected character」が表示される場合

cybozu.com の IP アドレス制限が原因の可能性があります。

cybozu.com に対するアクセスを IP アドレスで制限したい場合には、Okta でのアクセス制限を検討してください。
Okta の IP アドレスは変更される可能性があり、cybozu.com の IP アドレス許可リストに Okta の IP アドレスを設定することは推奨しません。

 

このTipsは、2022年8月版 cybozu.com で確認した内容です。

記事に関するフィードバック

記事のコメント欄は記事に対するフィードバックをする場となっております。
右の記事フィードバックのためのガイドを参照してコメントしてください。
記事のリンク切れなど、気になる点がある場合も、こちらのフォームからフィードバックいただけますと幸いです。

サインインしてコメントを残してください。