SCIM(System for Cross-domain Identity Management)グループを使うと、Identity Provider(IdP)がIntercom内で直接グループを作成・同期できます。同期されたグループをIntercomの席と役割にマッピングし、チームメイトに正しい権限を自動で割り当てられます。
グループメンバーシップの同期により、チームの変化に応じてチームメイトのアクセス権が最新の状態に保たれ、すべてIdPで管理されます。これにより手動での役割管理が減り、チームの変化に伴うアクセス権の更新が確実になります。
注意:ワークスペースあたり100のSCIMグループ、SCIMグループあたり2,500のusersの制限があります。
開始前に
重要:SCIMグループの設定にはいくつかの前提条件があります。
ステップ1:IntercomでSCIMを有効化する
設定 > ワークスペース > セキュリティ > 認証方法に移動します。
SAML SSOが有効になっていることを確認してください。
プロビジョニング設定を開き、SCIMプロビジョニングを有効にするをオンにします。
「除外:deprovisioningおよびrole provisioning」からチームメイトを追加し、自分のアカウントを除外してください。
保存をクリックします。
Base URLとAPI tokenをIdPのSCIMアプリにコピーします。
重要:SCIMによるアクセス変更を防ぐため、「除外:deprovisioningおよびrole provisioning」に自分のアカウントを必ず除外してください。
ステップ2:IdPからグループをプッシュする
IdPはIntercomに直接グループを作成・同期できるようになりました。
IdPのgroups(例:「Fin Admins」、「Fin Support」、「Fin Viewers」)をプッシュしてIntercomに作成します。IdPでグループからチームメイトを追加・削除すると、Intercomのメンバーシップも更新されます。
注意:
グループはデフォルトで非アクティブ状態で作成されます。
非アクティブなグループは、役割にマッピングして有効化するまでrole処理に含まれません。これにより初期設定時の意図しない権限変更を防ぎます。
ステップ3:グループをIntercomの役割にマッピングする
IdPからグループが同期されたら、それらをIntercomの役割にマッピングできます。
Intercomで設定 > ワークスペース > チームメイト > SCIMプロビジョニングに移動します。
同期されたグループをリストから選択します。
Intercomの役割(例:「Admin」、「Support」、「Viewer」)を割り当てます。
必要に応じて席タイプとCopilotアクセスを割り当てます。
変更を適用をクリックします。
注意:チームメイトがFull seatからLite seatにダウングレードされると、そのメッセージ、記事、会話、所有するusers、leads、アカウントはSCIM deprovisioning設定に基づき別のチームメイトに再割り当てされます。
SCIMグループの役割マッピングのテスト
IdPの同期グループにテスト用チームメイトを追加し、Intercomで正しい役割が割り当てられていることを確認します。
IdPでチームメイトを別のグループに移動し、Intercomで役割が自動的に更新されていることを確認します。
注意:席と役割の変更は適用に数分かかり、チームメイトのアクティビティログに表示されます。
SCIM関連イベントの監査およびアクティビティログを表示する
SCIM関連イベント(例:グループや役割の変更)はチームメイトのアクティビティログに記録され、誰がいつ何を変更したかの監査証跡を提供します。
SCIMグループのベストプラクティス
Intercomの役割には一般的なHRグループではなく、専用のIdPグループを使用してください。
グループルールを使ってHRグループとSyncグループのユーザーメンバーシップを1対1でマッピングしてください。
IdPを真実の情報源として扱い、Intercomでの手動役割変更は避けてください。
組織のアクセス方針に照らして、グループと役割のマッピングを定期的に見直してください。
ルールを使ってIdPでグループメンバーシップを自動化してください(例:
department = Support→ Supportグループ)。