SCIMによるユーザーのプロビジョニング

SCIMは、異なるクラウドアプリベンダー間でアイデンティティ情報を交換するための標準を定義します。 例えば、SCIMを使用すると、Catoアカウント内でユーザーデータを簡単に大規模に作成、更新、削除できます。

ユーザー情報はIdPからCatoに安全に同期され、ユーザーが作成されます。 IdPで行われたユーザーの詳細に対する変更は、ほぼリアルタイムでCatoに反映されます。 例えば、社員が会社を退職した場合、そのアカウントは会社のIdPから削除されます。 この変更はCatoと同期され、ユーザーは削除されます。

ディレクトリ名列では、どのユーザーがインポートされたか、または手動で作成されたかを確認できます。インポートされたユーザーはSCIMディレクトリ名で表示され、手動で作成されたユーザーは"手動"として表示されます。 また、ディレクトリ名でフィルタをかけたり、システム内の手動で追加されたすべてのユーザーを表示したりすることもできます。

ユーザーがSCIMでプロビジョニングされると、ライセンスの割り当てとポリシーへの含まれた設定が行われます。

SCIMを使用してユーザーをプロビジョニングする利点：

このプロセスは、IdPからユーザーがプロビジョニングされ、ライセンスが割り当てられ、ポリシーに追加され、ネットワークに安全に接続できるようになる方法を説明します。

SCIMでユーザーをプロビジョニングするためのサポートを受けるIdPは次のとおりです：

各IdPに対するSCIMプロビジョニングの設定方法の詳細については、SCIMによるユーザーのプロビジョニングおよびCatoアカウントでのIdentity Providerの使用を参照してください。

IdPのSCIMアプリからユーザーまたはグループを割り当て、または未配置することをお勧めします。 しかし、CMAから直接SCIMでプロビジョニングされたユーザーとグループを有効化、無効化、削除することも可能です。 これらの変更は自動的に SCIM サービスに同期されます。 

SCIM アプリを使用して Cato アカウントにプロビジョニングされたユーザーやグループを削除する場合、アプリで割り当て解除します。 SCIM アプリが次にアカウントと同期されるとき、ユーザーとグループは自動的に無効になります。

SCIM プロバイダーを削除または変更する場合、CMA から SCIM プロバイダー設定を削除する前に、SCIM アプリからすべてのインポートされたユーザーまたはグループを削除してください。 SCIM アプリが同期された後、これらのエンティティは CMA で無効化されます。

ZTNA (SDP) ライセンスを持つSCIMプロビジョニングされたユーザーを無効化または削除した場合、ZTNAライセンスは解除され、他のユーザーに利用可能になります。

削除後のユーザグループの再プロビジョニング

削除されたユーザーグループの再プロビジョニング時の動作は IdP によって異なります。

• Entra ID: 削除されたユーザグループを再プロビジョニングすると再作成されますが、メンバーシップは復元されません。 メンバーシップを復元するには、Entra アプリケーションからグループを削除し、再度追加します。 メンバーシップは次のプロビジョニングサイクルで復元されます。
• Okta: Okta から削除されたユーザグループをプッシュすると失敗します。 ユーザグループを再プロビジョニングするには、Okta アプリケーションからグループを削除し、再割り当てします。 これにより、ユーザグループとそのメンバーシップが復元されます。

アクティブなSCIMディレクトリの削除

SCIM ディレクトリをアカウントから削除できます。 削除後、そのユーザーとグループへの変更は IdP から同期されなくなります。 アクティブなユーザーがいる場合でも、ディレクトリを削除できます。

注: SSO ユーザー認証に使用されている SCIM ディレクトリを削除することはできません。 削除する前に、ディレクトリをユーザー認証設定から削除してください。

SCIM ディレクトリを削除するには:

1. ナビゲーションペインから、アクセス > ディレクトリサービス に移動し、SCIM タブをクリックします。
2. SCIM ディレクトリ行の終わりで、三点アイコンをクリックし、削除を選択します。 
3. 確認ウィンドウで、削除をクリックしてください。 
   この SCIM ディレクトリがあなたの Cato アカウントから削除されます。 このディレクトリの将来の IdP からの変更は同期されなくなります。