IdP グループ マッピング

Control Room を ID プロバイダー (IdP) と統合すると、IdP 内のユーザー アカウントが Control Room で自動的にプロビジョニングされます。

重要: Control Room で IdP グループ マッピングを構成し、Control Room で SAML 自動ユーザー アカウント プロビジョニング オプションを有効にすると、ユーザー、ロール、およびライセンスは、Control Room で構成されている IdP グループ マッピングを介してのみ管理されます。 このため、Control Room[設定の管理] および [ロールの管理] の権限を使用するロールがで割り当てられている IdP グループ マッピングが 1つ以上あることを確認してくださいControl Room IdP グループ マッピングの管理を担当するユーザーは、このロールに割り当てられている必要があります。 このような IdP グループ マッピングが Control Room に存在しない場合、Control Room グループ マッピングを管理できるユーザーは存在しなくなります。

IdP グループ マッピングの作成 | SAML 自動ユーザー アカウント プロビジョニングの有効化」を参照してください。

注: この機能を使用するには Enterprise Platform のライセンスが必要です。 この機能に対応しているバージョンについては、エンタープライズプラットフォーム を参照してください。
Control Room 管理者は、お客様が管理する IdP ユーザー アカウントが自動的にプロビジョニングされるように、Control Room で次のタスクを実行します。
  • Control Room で IdP グループ マッピングを作成します。
  • Control Room で IdP グループ マッピングにロールを割り当てます。
  • Control Room で IdP グループ マッピングにライセンスを割り当てます。
IdP グループ マッピングの作成」を参照してください。
IdP が次のどの構成に該当するかに関係なく、IdP ユーザー アカウントは、Control Room 管理者によって構成された IdP グループ マッピングに基づいて、Control Room で自動的にプロビジョニングされます。
  • 既存の IdP ユーザー グループがある。
  • 既存の IdP ユーザー グループを更新した。
  • 新しい IdP ユーザー グループを作成した。

IdP ユーザー アカウントが Control Room 内の IdP グループ マッピングにマッピングされている IdP ユーザーが Control Room にログインすると、Control Room は、ユーザー情報を検証し、それに応じてユーザー情報を管理します。 ユーザー情報に変更があると、情報が Control Room 内の IdP ユーザーに対して自動的に更新されます。

以下に、IdP グループ マッピングのワークフローを示します。
IdP グループ マッピングのワークフローを示す画像
  1. お客様が管理する IdP では、ユーザー グループはすでに論理的に管理されています。
  2. Control Room 管理者は、IdP グループ マッピングを作成し、ロールとライセンスを割り当てます。 「IdP グループ マッピングの作成」を参照してください。
  3. Control Room 管理者は自動ユーザーアカウントプロビジョニングを有効にします。 「SAML 自動ユーザー アカウント プロビジョニングの有効化」を参照してください。
  4. IdP ユーザーは、シングル サインオン (SSO) を使用して Control Room にログインします。 ユーザーの詳細を含む IdP SAML アサーションが、IdP から Control Room に送信されます。
  5. Control Room は、Control Room 内で構成された IdP グループ マッピングで IdP SAML アサーションを検証し、次のアクションを実行します。
    • ユーザーが Control Room 内に存在しない場合、ユーザーは、IdP SAML アサーションに含まれている属性で作成され、IdP グループ マッピングでの構成と同様にロールとライセンスが割り当てられます。
    • ユーザーがすでに Control Room 内に存在し、アクティブな場合、Control Room は IdP SAML アサーションを検証してユーザー情報、ロール、ライセンスの変更を識別し、それに応じてユーザー情報を更新します。
    • ユーザーがすでに Control Room 内に存在し、非アクティブな場合、Control Room はユーザーを有効にし、IdP SAML アサーションを検証してユーザー情報、ロール、ライセンスの変更を識別し、それに応じてユーザー情報を更新します。
    この検証は、ユーザーが Control Room にログインするたびに行われます。
ユーザーが複数の IdP ユーザー グループに属していて、それぞれ異なるロールとライセンスを持つ対応する IdP グループ マッピングが Control Room で作成される場合の動作は次のようになります。
  • IdP グループ マッピングからのロールの組み合わせがユーザーに割り当てられます。
  • ユーザーには、ライセンス割り当て順序の優先度に基づいて、1 つのライセンスのみが割り当てられます。 「ライセンス順序の優先度の設定」を参照してください。
注: IdP 管理者は、Control Room 属性名を IdP 属性名にマッピングして、ユーザー認証時に IdP から Control Room に送信される IdP SAML アサーションに必要な情報が含まれるようにする必要があります。 「IdP グループ マッピングの例」を参照してください。