クロスドメイン ID 管理システム (SCIM)

Liferay DXP 2024年第1四半期以降

クロスドメイン ID 管理システム (SCIM) は、ユーザーのプロビジョニングを自動化するオープン スタンダードです。 つまり、ユーザー ID を作成、更新、非アクティブ化するための標準的な方法です。 SCIM は、異なるアプリケーション間でユーザー/グループ データを同期するための、統一された RFC 準拠の方法を提供します。 それは

• ユーザーとグループを表すための定義済みスキーマ。 詳細については、 ユーザー リソース スキーマ および グループ リソース スキーマ を参照してください。
• これらのユーザーとグループに対して CRUD 操作を実行し、同期を維持するための RESTful API。 詳細については、 SCIM ユーザー API の基礎 および SCIM グループ API の基礎 を参照してください。

SCIM を使用すると、会社のアプリケーションと Liferay などのサービス プロバイダー間でのユーザー ID 情報の交換を安全に自動化できます。 これは、会社で複数のアプリケーションを使用しており、カスタム実装なしでユーザー データを同期させたい場合に役立ちます。

SCIMクライアントの登録

1. グローバル メニュー () を開き、 コントロール パネル → インスタンス設定 → セキュリティ → SCIMに移動します。

2. OAuth 2 アプリケーション名フィールドに名前を入力します。

   ここで入力した名前は、SCIM クライアント ID の生成に使用されます。 この ID は、ユーザーとグループを SCIM クライアントにリンクします。 SCIM クライアント名が Test SCIM Clientの場合、生成される SCIM クライアント ID は SCIM_test-scim-clientになります。

3. Matcher フィールドを userName または emailに設定します。

   SCIM クライアントはこのフィールドを使用して、サービス プロバイダーと接続されたアプリケーションのユーザー データを照合します。 これにより、プロビジョニングの問題が回避され、データの重複が防止されます。

   

4. アクセス トークン フィールドは最初は空です。 生成 をクリックし、 OK をクリックして、フィールドにアクセス トークンを入力します。 アクセス トークンは取り消されない限り 1 年後に期限切れになります。 アクセス トークンを生成するのが初めてではない場合は、既存のトークンが上書きされますが、そのトークンの有効期間は最大 10 日間です。 この猶予期間を利用して、クライアント アプリケーションで新しいトークンを構成できます。

   Authorization リクエスト ヘッダーにアクセス トークンを設定することで、SCIM API を呼び出すことができます。 すべてのアクセス トークンを取り消すには、 [取り消し] をクリックし、 [OK]をクリックします。

5. [保存]をクリックします。

デフォルトのSCIMユーザーの変更

1. グローバル メニュー () を開き、 コントロール パネル → OAuth 2 管理に移動します。

2. 先ほど生成した SCIM クライアント ID に基づいてアプリを見つけます。

3. 「クライアント資格情報ユーザー」セクションまで下にスクロールし、「 選択」をクリックします。

4. 適切な権限と特権を持つユーザーを選択します。 ユーザーがすでにサインインしている場合は、 サインインしたユーザーを使用するをクリックします。

5. [保存]をクリックします。

SCIMクライアントのリセット

Liferay DXP 2024.Q4+/Portal GA129+ ベータ機能

新しい SCIM クライアントを登録するには、既存のクライアントをリセットして、SCIM クライアント データと生成された OAuth 2 トークンを削除する必要があります。

1. グローバル メニュー () を開き、 コントロール パネル → インスタンス設定 → セキュリティ → SCIMに移動します。

2. リセット をクリックし、次に OKをクリックします。

これにより、アクセス トークン、マッチャー フィールド、および OAuth 2 アプリケーション名のフィールドがクリアされます。 また、SCIM クライアントに関連付けられている OAuth 2 アプリケーションも削除されます。

関連トピック

• SCIM ユーザー API の基礎
• SCIMグループAPIの基礎