SCIMプッシュ配信設定

SCIMに対応していないIDプロバイダーでは、Keeperコマンダーのscim pushコマンドを使用してユーザーとチームをプロビジョニングできます。

共通のセットアップ手順

要件: ユーザーとチームのプロビジョニングを理解しておいてください。

1. 管理コンソールまたはコマンダーで、企業のSCIMプロビジョニングを作成

2. Keeperにログインレコードタイプのレコードを作成し、SCIM構成を保存

3. SCIM URLをレコードのウェブサイトアドレスフィールドに貼り付け

4. SCIMトークンをパスワードフィールドに貼り付け

Google Workspace

このセクションのセットアップ手順では、Google Workspaceアカウントからユーザーとチームをプロビジョニングできます。

要件: 有効なGoogle Workspace サブスクリプションとGoogle Cloud Platformアカウント

pip でインストールしたコマンダー: Google API Client Pythonパッケージがインストールされていることを確認してください。

(keeper) % pip install google-api-python-client

1. Google Cloud Platform: プロジェクトを作成するか、既存のプロジェクトを選択

2. Google Cloud Platform: プロジェクトで Admin SDK API を有効化

   • APIs & Services で +ENABLE APIS AND SERVICES をクリック

   • Search for APIs & Services に Admin SDK API と入力

   • ENABLE をクリック

3. Google Cloud Platform: サービスアカウントを作成

   • IAM and Admin メニューで Service accounts を選択

   • +CREATE SERVICE ACCOUNT をクリック。推奨サービスアカウント名: keeper-scim

   • 作成したサービスアカウントで Actions/dots をクリックし、Manage Keys を選択

   • ADD KEYS -> Create New Key の順にクリック。JSONキータイプを選択して CREATE

   • サービスアカウントクレデンシャルを含むJSONファイルがダウンロードされる

   • ファイル名を credentials.json に変更し、上記セットアップ手順で作成した構成レコードに添付

4. サービスアカウントにGoogle Workspaceディレクトリへのアクセスを付与

   • Google Cloud Platform

     • サービスアカウントに移動し、DETAILS タブを選択

     • Domain-wide delegation セクションで Client ID をコピー。このClient IDにGoogle Workspaceディレクトリへのアクセスを付与する必要がある

   • Google Workspace管理コンソール

     • Security -> API controls に移動

     • Domain wide delegation の下で MANAGE DOMAIN WIDE DELEGATION をクリック

     • API Clients で Add new をクリック

     • Client ID を貼り付け

     • 以下を OAuth scopes (comma-delimited) に貼り付け: https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/admin.directory.group.member.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly

     • AUTHORIZE をクリック。これらのスコープにより、サービスアカウントにGoogle Workspaceディレクトリのユーザー、グループ、メンバーシップへの読み取り専用アクセスが付与される

5. Google Workspace管理コンソール: Keeperにサービスアカウント情報を設定

   • Googleで Account -> Account settings に移動

   • Primary admin のメールアドレスをクリップボード (右上) にコピー

   • このメールアドレスをKeeperのGoogle SCIM構成レコードのLoginフィールドに貼り付け

6. Google Workspace管理コンソール: Keeperへエクスポートするユーザーを格納するグループを作成

   • オプション: すべてのユーザーアカウントをインポートする場合は、この手順を省略

   • Directory -> Group に移動

   • Create group をクリック

   • Keeperにプロビジョニングする必要があるユーザーをすべてこのグループに割り当て

KeeperのGoogle SCIM構成レコードには、以下のフィールドが含まれている必要があります。

プロビジョニングデータのプッシュ

GoogleユーザーとチームをKeeperにプッシュするには、以下のコマンドを使用します。

SCIM IDは、管理コンソールまたはコマンダーで確認できます。例:

Google Workspaceの自動プロビジョニング

Google Workspaceユーザーとチームのプロビジョニングを自動実行するGoogle Cloud Functionが利用できます。手順は以下をご参照ください。

Google Workspace User and Group Provisioning with Cloud Function | SSO Connect Cloud | Keeper Documentation Portaldocs.keeper.io

Active Directory

このセクションのセットアップ手順では、scim push コマンドを使用してActive Directoryからユーザーとチームをプロビジョニングできます。

前提条件:

1. Active Directoryブラウザでグループを作成し、KeeperでプロビジョニングするADユーザーとグループを追加

2. Active Directory接続URLを取得 (例: ldap(s):<ドメインコントローラーのホストまたはIP>)

3. Active Directoryを読み取れるユーザーを選択

KeeperのActive Directory構成レコードには、以下のフィールドが含まれている必要があります。

プロビジョニングデータのプッシュ

Active DirectoryユーザーとチームをKeeperにプッシュするには、以下のコマンドを使用します。