SCIMプッシュ配信設定

すべてのソースに共通

前提条件: ユーザーとチームのプロビジョニングについて理解しておいてください

1. 管理コンソールまたはCommanderを使用して、企業のSCIMプロビジョニングを作成します

2. login記録タイプの記録をKeeperに作成し、SCIM設定を保存します

3. SCIM URLを設定の記録のWeb Addressフィールドに貼り付けます

4. SCIMトークンをPasswordフィールドに貼り付けます

Google Workspace

このセクションの設定手順で、Google Workspaceアカウントからユーザーとチームをプロビジョニングできます。

前提条件: 有効なGoogle WorkspaceサブスクリプションとGoogle Cloud Platformアカウント

pipでインストールされたCommander: Google API Client Pythonパッケージがインストールされているようにします

(keeper) % pip install google-api-python-client

1. Google Cloud Platform:プロジェクトを作成するか、または既存のプロジェクトを選択します

2. Google Cloud Platform:プロジェクトでAdmin SDK APIを有効にします

   • APIs & Servicesで+ENABLE APIS AND SERVICESをクリックします

   • Search for APIs & ServicesでAdmin SDK APIと入力します

   • ENABLEをクリックします

3. Google Cloud Platform:サービスアカウントを作成します

   • IAM and AdminメニューでService accountsを選択します

   • +CREATE SERVICE ACCOUNTをクリックします。推奨されるサービスアカウント名: keeper-scim

   • サービスアカウントを新規作成した場合は、Actions/dotsをクリックして、Manage Keysを選択します

   • ADD KEYS -> Create New Keyの順にクリックします。JSONキータイプを選択してからCREATEを選択します

   • サービスアカウントのクレデンシャルを含むJSONファイルがコンピュータにダウンロードされます

   • このファイルの名前をcredentials.jsonに変更し、このファイルを添付ファイルとして設定の記録に追加します

4. サービスアカウントにGoogle Workspaceディレクトリへのアクセスを許可します

   • Google Cloud Platform

     • サービスアカウントに移動し、DETAILSタブを選択します

     • Domain-wide delegationセクションで、Client IDをコピーします。このClientIDにGoogle Workspaceディレクトリへのアクセスを許可する必要があります

   • Google Workspace管理コンソール

     • Security -> API controlsに移動します

     • Domain wide delegationの下のMANAGE DOMAIN WIDE DELEGATIONをクリックします

     • API ClientsのAdd newをクリックします

     • Client IDを貼り付けます

     • 次のテキストをOAuth scopes (comma-delimited)に貼り付けますhttps://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.group.member.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly

     • AUTHORIZEをクリックします (これらのスコープが、サービスアカウントにGoogle Workspaceディレクトリのユーザー、グループ、メンバーシップへの読み取り専用アクセスを付与します）

5. Google Workspace管理コンソール: Service Accountを持つプロバイダーのKeeper

   • Googleで、Account -> Account settingsに移動します

   • Primary adminのメールアドレスをクリップボード (右上) にコピーします

   • このメールアドレスをKeeperのGoogle SCIM設定記録のログインフィールドに貼り付けます

6. Google Workspace管理コンソール: Keeperにエクスポートするユーザーを格納するグループを作成します。

   • オプション: 全ユーザーアカウントをインポートする場合は、この手順を省略します

   • Directory -> Groupに移動します

   • Create groupをクリックします

   • Keeperにプロビジョンする必要があるユーザーをすべてこのグループに割り当てます

Keeper側のGoogle SCIM設定記録には以下のフィールドが含まれているはずです。

プロビジョニングデータをプッシュ

GoogleユーザーとチームをKeeperにプッシュするには、以下のコマンドを使用します。

scim push <SCIM ID> --source=google --record=<RECORD UID>

SCIM IDは、管理コンソールかCommanderを使用して確認できます。

例:

My Vault> scim list
        SCIM ID  Node Name              Node ID          Status   Last Synced
---------------  ---------------------  ---------------  -------  ------------
288797895952358  Lurey, Inc.\Corporate  288797895950343  active   Wed Jul  6 09:44:44 2022
288797895951707  Lurey, Inc.\Azure      288797895951061  active   Fri Jul  7 14:25:31 2023
288797895951110  Lurey, Inc.\Google     288797895951063  active   Mon May 30 23:42:52 2022

Google Workspaceの自動プロビジョニング

Google Workspaceユーザーとチームのプロビジョニングを自動的に実行するGoogle Cloud Functionを作成しました。詳細については、こちらをご参照ください。

Active Directory

こちらのセットアップ手順では、scim pushコマンドを使用してActive Directoryからユーザーとチームをプロビジョニングします。

前提条件:

1. Active Directoryのブラウザでグループを作成し、KeeperでプロビジョニングするADユーザーとグループを追加します

2. ldap(s):<ドメインコントローラーホストまたはIP>のような、Active Directory接続URLを取得します

3. Active Directoryを読み取ることができるユーザーを選択します

Keeper側のActive Directory設定記録には、以下のフィールドが含まれているはずです。

プロビジョニングデータのプッシュ

Active DirectoryのユーザーとチームをKeeperにプッシュするには、以下のコマンドを使用します。

scim push <SCIM ID> --source=ad --record=<RECORD UID>