メインコンテンツへスキップ
SCIMプロビジョニングは ScaleScale +Enterprise プランで利用できます。アクティブなSSO接続が必要です。 このガイドでは、SCIMディレクトリ同期の有効化、グループとワークスペースのマッピング設定、トークン管理、同期アクティビティの監視について説明します。 始める前に: まずシングルサインオン(SSO)の設定を完了してください。SCIMはアクティブなSSO接続の上に構築されます——先にドメイン確認とIDプロバイダーとのSSO設定が必要です。

CloudThinkerでのSCIMの仕組み

SCIM(System for Cross-domain Identity Management)は、IDプロバイダーがCloudThinkerを自社ディレクトリと自動的に同期できるようにする業界標準です。手動でユーザーを招待・削除する代わりに、IdPが自動的に処理します。 SCIMを有効にすると:
  • IdPでCloudThinkerアプリケーションに割り当てられたユーザーが組織に自動的に追加される
  • IdPアプリケーションから削除されたユーザーがCloudThinkerで自動的に非アクティブ化される
  • IdPからプッシュされたグループがCloudThinkerに表示され、特定のワークスペースとロールにマッピングできる
  • IdPでのグループメンバーシップの変更がCloudThinkerのワークスペースアクセスに自動的に反映される
裏側では、IdPがユーザーやグループの作成・更新・削除が必要なときにベアラートークンを使ってCloudThinkerのSCIM 2.0 APIを呼び出します。

ステップ1: CloudThinkerでSCIMを有効にする

1

Identity and access設定に移動する

Admin Settings → Identity and access に移動します。SSO接続がアクティブな場合、Provisioning & directory sync カードがSSOカードの下に表示されます。
2

SCIMを選択する

プロビジョニングモードセレクターで SCIM オプションをクリックします。CloudThinkerがベアラートークンとSCIMエンドポイントURLを生成します。
3

クレデンシャルをコピーする

ダイアログにIDプロバイダーに貼り付ける2つの値が表示されます:
  • Bearer token — IdPがCloudThinkerのSCIM APIに認証するために使用するシークレットトークン
  • SCIM base URL — IdPがリクエストを送信するエンドポイント(形式: https://<your-domain>/api/v1/scim/{org_id}/v2
今すぐ両方の値をコピーしてください——ベアラートークンは一度のみ表示されます。
ベアラートークンはダイアログを閉じた後に取得できません。すぐにコピーしてください。紛失した場合はトークンをローテーションする必要があります。

ステップ2: IDプロバイダーでSCIMを設定する

IDプロバイダーの管理コンソールに切り替えて、CloudThinkerアプリケーションのSCIMプロビジョニングをセットアップします。プロバイダー(Okta、Azure AD / Microsoft Entra、OneLoginなど)によって手順は異なりますが、必要な値は同じです。

一般的な設定

IdPのCloudThinkerアプリケーションのSCIMまたはプロビジョニング設定で以下を入力します:
フィールド
SCIM connector base URLステップ1のSCIM base URL
Authentication modeHTTP Header / Bearer Token
Bearer tokenステップ1のトークン
Unique identifier fielduserName(ユーザーのメールアドレスにマッピングされる)

IdPが同期できること

操作サポート内容
Create UsersYesCloudThinker組織に新しいユーザーアカウントを追加する
Update User AttributesYes名前、メール、アクティブステータスを同期する
Deactivate UsersYesIdPでユーザーが非アクティブ化されたときにアクセスを無効にする
Delete UsersYes組織からユーザーを削除する
Push GroupsYesIdPグループをCloudThinkerに同期してワークスペースマッピングに使用する
Group MembershipYesIdPとCloudThinker間でグループメンバーを同期する
CloudThinkerはユーザー検索に userName でのフィルタリング、グループ検索に displayName でのフィルタリングをサポートします。バルク操作は現在サポートされていません。

ステップ3: グループをワークスペースとロールにマッピングする

IdPがSCIM経由でグループをプッシュし始めると、Identity and accessページの Group mappings セクションに自動的に表示されます。グループマッピングを使うと、IdPでのグループメンバーシップに基づいて、ユーザーがどのワークスペースに入り、どのロールを取得するかを制御できます。 同期されたグループごとに以下を設定できます:
設定説明
Auto-assigned workspacesこのグループのメンバーが自動的に追加されるワークスペース
Auto-assigned organization roleこのグループのメンバーの組織ロール——Viewer、Developer、またはAdminから選択。SSO接続設定のデフォルトロールを使用するには “Use connection role” を選択する。
1

グループが表示されるのを待つ

IdPでSCIMを設定した後、CloudThinkerアプリケーションにグループを割り当てます。IdPがグループをプッシュすると Group mappings テーブルに表示されます——IdPの同期間隔によっては数分かかる場合があります。
2

ワークスペースを選択する

各グループについて、ワークスペースドロップダウンを使ってメンバーがアクセスできるワークスペースを選択します。
3

ロールを設定する(オプション)

オプションで各グループに特定のロールを選択します。“Use connection role” のままにすると、メンバーはSSO接続設定のデフォルトロールを取得します。
4

保存する

各グループ行の Save をクリックしてマッピングを適用します。
グループがまだ同期されていない場合、Group mappingsセクションに次のメッセージが表示されます: “No groups synced yet. Groups will appear here automatically once your identity provider pushes them via SCIM.”

SCIMトークンの管理

トークンのローテーション

トークンが侵害された場合やセキュリティポリシーで定期的なローテーションが必要な場合、ダウンタイムなしでローテーションできます:
  1. Directory sync (SCIM) セクションで Rotate token をクリックする
  2. ローテーションを確認します——古いトークンはさらに24時間有効で、IdPを更新する時間があります
  3. 新しいトークンをコピーしてIdPのSCIM設定で更新する
古いトークンと新しいトークンの両方が24時間の重複ウィンドウ中に機能するため、切り替え中にIdPで同期エラーは発生しません。

トークンの失効

SCIMから別のプロビジョニングモード(ManualまたはJIT)に切り替えると、SCIMトークンが自動的に失効し、すべてのディレクトリ同期が停止します。IdPはCloudThinkerでユーザーを作成・更新・削除できなくなります。

同期アクティビティの監視

Directory syncセクションの View sync logs をクリックすると、すべてのSCIM操作の履歴を確認できます。これはIdPが正しく変更をプッシュしていることを確認したり、プロビジョニングの問題をトラブルシューティングするのに役立ちます。 各ログエントリには以下が表示されます:
フィールド説明
Timestamp操作が発生した日時
Action何が起きたか(例: CREATE、UPDATE、DELETE)
Resource影響を受けたユーザーまたはグループ
Status成功(SUCCESS)、スキップ(SKIPPED)、失敗(FAILED)のいずれか

SCIMの無効化

ディレクトリ同期が不要になった場合、SCIMを無効化できます:
  1. Provisioning & directory sync カードで Manual または Just-in-time を選択する
  2. アクションを確認します——これにより即座にSCIMトークンが失効し、すべてのディレクトリ同期が停止します
  3. 既存のユーザーは組織に残りますが、IdPはユーザーを自動的に追加・削除できなくなります
SCIMの無効化は即時に有効になります。IDプロバイダーは次の同期サイクルで認証エラーを受け取り始めます。不要なエラーアラートを避けるために、IdPのSCIMプロビジョニングを更新または無効化してください。

トラブルシューティング

CloudThinkerにグループが表示されない

IdPのプロビジョニング設定でグループがCloudThinkerアプリケーションに割り当てられていることを確認してください。CloudThinkerはIdPからグループをプルしません——IdPがプッシュする必要があります。View sync logs でグループ同期の試みが行われたか確認してください。

ユーザーがプロビジョニングされない

  1. IdPでユーザーがCloudThinkerアプリケーションに割り当てられていることを確認する
  2. SCIMトークンがローテーションまたは失効していないことを確認する——不明な場合はトークンをローテーションしてIdPを更新する
  3. View sync logs を開いてFAILEDエントリを探す——何が問題だったかの詳細が含まれていることが多い
  4. ユーザーのメールアドレスが有効で、別のCloudThinker組織にすでに関連付けられていないことを確認する

ユーザーがデプロビジョニングされない

  1. IdPでユーザーがCloudThinkerアプリケーションから削除されていることを確認する(グループから削除するだけでは不十分——アプリケーションの割り当てを解除する必要がある)
  2. そのユーザーに対するDELETEまたはDEACTIVATEアクションの同期ログを確認する
  3. IdPによっては変更が即時に同期されない——例えばMicrosoft Entraは約40分ごとに同期します。次のサイクルを待ってから再確認してください。

SCIMトークンが機能しなくなった

別の管理者によってトークンがローテーションまたは失効した可能性があります。CloudThinkerで新しいトークンを生成して、IdPのSCIM設定を新しい値で更新してください。

「Cannot enable JIT provisioning while SCIM is active」

JIT(Just-in-Time)プロビジョニングとSCIMは同時に使用できません。JITに切り替えるには、まず別のプロビジョニングモード(ManualまたはJIT)を選択してください——SCIMトークンが失効してディレクトリ同期が停止します。

関連

SSOの設定

SAML またはOIDCシングルサインオンの設定(SCIMの前提条件)

セキュリティ概要

MFA、RBAC、APIキー、データセキュリティ

Organizations

組織メンバーとロールの管理

Workspace Users

ワークスペースレベルのアクセス制御