API7 Enterprise 3.2.11 の新機能:SCIM と SSO ロールマッピングのサポート

Zhihuang Lin

Zhihuang Lin

May 17, 2024

Products

デジタル化の進展に伴い、ユーザーアイデンティティ管理とアクセス制御はますます重要になっています。API7 Enterprise 3.2.11バージョンでは、SCIM(System for Cross-domain Identity Management)とSSOロールマッピングをサポートすることで、ユーザーにより効率的で便利なアイデンティティ管理とシングルサインオン(SSO)ログイン体験を提供します。

SCIMのサポート:クロスドメインのアイデンティティ管理と同期

標準化されたユーザーアイデンティティ管理プロトコルであるSCIMは、異なるシステム間でのユーザーアイデンティティ情報の交換を大幅に簡素化します。API7 Enterprise 3.2.11バージョンでは、SCIM標準をサポートし、ユーザーアイデンティティ情報の作成、更新、削除、クエリなどの操作をより便利にします。

SCIMを使用することで、企業はIdentity Provider(IdP)上で直接ユーザー情報を管理できます。新入社員のアカウント作成や退職者のアカウント無効化など、すべてを単一のプラットフォームで行い、自動的に同期することが可能です。このクロスドメイン管理アプローチは、管理効率を向上させるだけでなく、ユーザーデータの正確性と完全性も保証します。

組織設定ページには、SCIMに関連する新しい設定オプションが追加されており、初期状態では閉じられています。右上の有効化ボタンをクリックしてSCIMをアクティブにします。

SCIMプロビジョニング

有効化すると、システムはSCIMエンドポイントのURLとSCIMトークンのコピーボックスを表示します。このSCIMエンドポイントは、RESTful APIのセットを提供し、アイデンティティプロバイダー(IdP)がユーザーアイデンティティ情報を交換できるようにします。これにより、さまざまなIdPに対してユーザー情報の追加、削除、更新などの操作がサポートされます。

  • SCIMトークンは、SCIMエンドポイントでの認証に使用される必須の認証情報です。初めてSCIMを有効にしたときに一度だけ表示され、現在のページを離れると再度表示されないため、トークンをすぐにコピーして保存し、後続の手順をスムーズに進めるようにしてください。

  • API7 SCIMエンドポイントURLは、SCIM標準化APIのアクセスポイントです。

SCIMプロビジョニング

ユーザーデータソースの単一性を確保するため、SCIMを通じてプラットフォームに同期されたユーザーにはSCIMラベルが付けられます。

SCIMラベル付きユーザー

SCIMラベルが付いたユーザーは、プラットフォーム内で削除することはできません。このようなユーザーはAPI7 Enterprise内で直接削除できず、IdPを通じて削除し、API7 Enterpriseに同期する必要があります。同様に、IdPでユーザーが無効化されると、API7 Enterpriseにログインできなくなります。

SCIMラベル付きユーザーのログインページ

SSOロールマッピングのサポート:SSOログイン体験の向上

API7 Enterprise 3.2.11バージョンでは、SSOロールマッピングの導入により、SSOログインの利便性がさらに向上しました。ロールマッピングを導入することで、システムはIdP内のユーザーのアイデンティティと権限に基づいて、対応するアプリケーションアクセス権限を自動的に割り当てることができます。その結果、ユーザーはAPI7 Enterpriseで個別に権限を設定する必要がなくなり、作業効率とユーザー体験が向上します。

組織設定ページで新しいログインオプションを追加する際、選択したプロバイダーに関係なく、設定フォームの下部にロールマッピングスイッチが追加されています。このスイッチを有効にすると、ロールマッピングの設定フォームが表示されます。

API7 Enterpriseのロールマッピング

  • 内部ロール: これらはAPI7 Enterprise内に組み込まれたロールで、ユーザーのアクセス権限と操作範囲を制御するために使用されます。ロールマッピングでは、外部IdPのロールをこれらの内部ロールにマッピングして、ログイン時にユーザーに適切な権限を割り当てることができます。

  • マッピングされたロール属性: IdPから返されるユーザーロール情報の識別子で、IdPの応答内のユーザーのロールデータを特定するために使用されます。指定された属性名(例: "role" や "groups")に基づいて、システムはIdPの応答からロールデータを抽出します。

  • 操作: IdPのロールデータとAPI7の組み込みロールをどのように照合するかを決定するために使用されます。完全一致、部分一致、配列一致など、さまざまな方法をサポートしています。例えば、IdPから返されるロール値が文字列配列の場合、「配列内の完全一致」を選択して一致する項目を見つけることができます。

  • マッピングされたロール値: IdP内でユーザーのロールを表す具体的な値で、ここで指定する必要があります。これらの値はAPI7 Enterpriseの組み込みロールと照合されます。例えば、IdPに「Idp Super Admin」というロール値がある場合、API7 Enterpriseの組み込みロール「Super Admin」にマッピングできます。

ロールマッピング機能は、複数のマッピング設定を追加することをサポートしており、組み込みロールは繰り返し選択可能で、さまざまな複雑なマッピング要件に対応できます。ロールマッピングが有効になると、IdP内のユーザーのロール情報に変更があった場合、次回のログイン時に新しいマッピングルールに従って更新されます。ユーザーはマッピングによるロール変更が発生した場合、すぐに通知されます。

ロールマッピングの通知

ロールマッピングの設定は、ログインオプションの詳細ページに表示されます。ユーザーはこのページで詳細な設定を確認し、対応する操作を行うことができます。

ロールマッピング設定

今後の展望

私たちは、アイデンティティ管理とアクセス制御機能の最適化を続け、企業のセキュリティニーズの増大に対応するため、さらなる統合ソリューションを探求していきます。また、皆様からのフィードバックをいただき、製品をさらに改善していくことを楽しみにしています。ご質問やご提案がございましたら、サポートチャネルを通じてお気軽にお問い合わせください。API7 Enterpriseへの継続的なサポートとご注目に感謝します。

Tags:
API7 Enterprise