CloudThinkerでのSCIMの仕組み
SCIM(System for Cross-domain Identity Management)は、IDプロバイダーがCloudThinkerを自社ディレクトリと自動的に同期できるようにする業界標準です。手動でユーザーを招待・削除する代わりに、IdPが自動的に処理します。 SCIMを有効にすると:- IdPでCloudThinkerアプリケーションに割り当てられたユーザーが組織に自動的に追加される
- IdPアプリケーションから削除されたユーザーがCloudThinkerで自動的に非アクティブ化される
- IdPからプッシュされたグループがCloudThinkerに表示され、特定のワークスペースとロールにマッピングできる
- IdPでのグループメンバーシップの変更がCloudThinkerのワークスペースアクセスに自動的に反映される
ステップ1: CloudThinkerでSCIMを有効にする
Identity and access設定に移動する
Admin Settings → Identity and access に移動します。SSO接続がアクティブな場合、Provisioning & directory sync カードがSSOカードの下に表示されます。
ステップ2: IDプロバイダーでSCIMを設定する
IDプロバイダーの管理コンソールに切り替えて、CloudThinkerアプリケーションのSCIMプロビジョニングをセットアップします。プロバイダー(Okta、Azure AD / Microsoft Entra、OneLoginなど)によって手順は異なりますが、必要な値は同じです。一般的な設定
IdPのCloudThinkerアプリケーションのSCIMまたはプロビジョニング設定で以下を入力します:| フィールド | 値 |
|---|---|
| SCIM connector base URL | ステップ1のSCIM base URL |
| Authentication mode | HTTP Header / Bearer Token |
| Bearer token | ステップ1のトークン |
| Unique identifier field | userName(ユーザーのメールアドレスにマッピングされる) |
IdPが同期できること
| 操作 | サポート | 内容 |
|---|---|---|
| Create Users | Yes | CloudThinker組織に新しいユーザーアカウントを追加する |
| Update User Attributes | Yes | 名前、メール、アクティブステータスを同期する |
| Deactivate Users | Yes | IdPでユーザーが非アクティブ化されたときにアクセスを無効にする |
| Delete Users | Yes | 組織からユーザーを削除する |
| Push Groups | Yes | IdPグループをCloudThinkerに同期してワークスペースマッピングに使用する |
| Group Membership | Yes | IdPとCloudThinker間でグループメンバーを同期する |
CloudThinkerはユーザー検索に
userName でのフィルタリング、グループ検索に displayName でのフィルタリングをサポートします。バルク操作は現在サポートされていません。ステップ3: グループをワークスペースとロールにマッピングする
IdPがSCIM経由でグループをプッシュし始めると、Identity and accessページの Group mappings セクションに自動的に表示されます。グループマッピングを使うと、IdPでのグループメンバーシップに基づいて、ユーザーがどのワークスペースに入り、どのロールを取得するかを制御できます。 同期されたグループごとに以下を設定できます:| 設定 | 説明 |
|---|---|
| Auto-assigned workspaces | このグループのメンバーが自動的に追加されるワークスペース |
| Auto-assigned organization role | このグループのメンバーの組織ロール——Viewer、Developer、またはAdminから選択。SSO接続設定のデフォルトロールを使用するには “Use connection role” を選択する。 |
グループが表示されるのを待つ
IdPでSCIMを設定した後、CloudThinkerアプリケーションにグループを割り当てます。IdPがグループをプッシュすると Group mappings テーブルに表示されます——IdPの同期間隔によっては数分かかる場合があります。
グループがまだ同期されていない場合、Group mappingsセクションに次のメッセージが表示されます: “No groups synced yet. Groups will appear here automatically once your identity provider pushes them via SCIM.”
SCIMトークンの管理
トークンのローテーション
トークンが侵害された場合やセキュリティポリシーで定期的なローテーションが必要な場合、ダウンタイムなしでローテーションできます:- Directory sync (SCIM) セクションで Rotate token をクリックする
- ローテーションを確認します——古いトークンはさらに24時間有効で、IdPを更新する時間があります
- 新しいトークンをコピーしてIdPのSCIM設定で更新する
トークンの失効
SCIMから別のプロビジョニングモード(ManualまたはJIT)に切り替えると、SCIMトークンが自動的に失効し、すべてのディレクトリ同期が停止します。IdPはCloudThinkerでユーザーを作成・更新・削除できなくなります。同期アクティビティの監視
Directory syncセクションの View sync logs をクリックすると、すべてのSCIM操作の履歴を確認できます。これはIdPが正しく変更をプッシュしていることを確認したり、プロビジョニングの問題をトラブルシューティングするのに役立ちます。 各ログエントリには以下が表示されます:| フィールド | 説明 |
|---|---|
| Timestamp | 操作が発生した日時 |
| Action | 何が起きたか(例: CREATE、UPDATE、DELETE) |
| Resource | 影響を受けたユーザーまたはグループ |
| Status | 成功(SUCCESS)、スキップ(SKIPPED)、失敗(FAILED)のいずれか |
SCIMの無効化
ディレクトリ同期が不要になった場合、SCIMを無効化できます:- Provisioning & directory sync カードで Manual または Just-in-time を選択する
- アクションを確認します——これにより即座にSCIMトークンが失効し、すべてのディレクトリ同期が停止します
- 既存のユーザーは組織に残りますが、IdPはユーザーを自動的に追加・削除できなくなります
トラブルシューティング
CloudThinkerにグループが表示されない
IdPのプロビジョニング設定でグループがCloudThinkerアプリケーションに割り当てられていることを確認してください。CloudThinkerはIdPからグループをプルしません——IdPがプッシュする必要があります。View sync logs でグループ同期の試みが行われたか確認してください。ユーザーがプロビジョニングされない
- IdPでユーザーがCloudThinkerアプリケーションに割り当てられていることを確認する
- SCIMトークンがローテーションまたは失効していないことを確認する——不明な場合はトークンをローテーションしてIdPを更新する
- View sync logs を開いてFAILEDエントリを探す——何が問題だったかの詳細が含まれていることが多い
- ユーザーのメールアドレスが有効で、別のCloudThinker組織にすでに関連付けられていないことを確認する
ユーザーがデプロビジョニングされない
- IdPでユーザーがCloudThinkerアプリケーションから削除されていることを確認する(グループから削除するだけでは不十分——アプリケーションの割り当てを解除する必要がある)
- そのユーザーに対するDELETEまたはDEACTIVATEアクションの同期ログを確認する
- IdPによっては変更が即時に同期されない——例えばMicrosoft Entraは約40分ごとに同期します。次のサイクルを待ってから再確認してください。
SCIMトークンが機能しなくなった
別の管理者によってトークンがローテーションまたは失効した可能性があります。CloudThinkerで新しいトークンを生成して、IdPのSCIM設定を新しい値で更新してください。「Cannot enable JIT provisioning while SCIM is active」
JIT(Just-in-Time)プロビジョニングとSCIMは同時に使用できません。JITに切り替えるには、まず別のプロビジョニングモード(ManualまたはJIT)を選択してください——SCIMトークンが失効してディレクトリ同期が停止します。関連
SSOの設定
SAML またはOIDCシングルサインオンの設定(SCIMの前提条件)
セキュリティ概要
MFA、RBAC、APIキー、データセキュリティ
Organizations
組織メンバーとロールの管理
Workspace Users
ワークスペースレベルのアクセス制御