メインコンテンツにスキップ

クロスドメインID管理システム(SCIM)プロビジョニング

Okta、OneLogin、または他のidentity providerを使用して、SCIMプロビジョニングでチームメイトを作成および削除します。

対応者:Jordan Ross

SCIMまたはSystem for Cross-domain Identity Management仕様は、複数のサービス間でアカウントを管理する標準プロトコルです:チームメイトを追加し、名前などのプロパティを変更し、アクセスを取り消すためにアカウントを無効化します。

Intercomをidentity providerと統合すると、チームメイトの管理が簡単かつ安全になります。

開始する前に

重要:SCIMの設定にはいくつかの前提条件があります。

  • SCIMを設定する前に、SAML SSOをワークスペースで設定し、有効にする必要があります。

  • SCIMプロビジョニングは特定のIntercomプランでのみ利用可能です。ご利用のサブスクリプションに追加するには、プランと価格をご確認ください。

  • プロビジョニングしたい各Intercomワークスペースは、identity providerで別々のアプリとして設定する必要があります。

SCIMの有効化方法

  1. 設定 > ワークスペース > セキュリティ > 認証方法に移動します。

  2. SAML SSOが有効になっていることを確認してください。

  3. 次に、プロビジョニングを開き、SCIMプロビジョニングを有効にするを選択します。

  4. セキュリティ設定を保存すると、Base URLAPI Tokenが利用可能になります。

  5. Base URLAPI Tokenをコピーし、identity provider(例:Okta、OneLogin、Azure ActiveDirectory)のIntercomアプリの設定に追加します。

プロビジョニング設定の構成

SCIMを有効にした後、新しいチームメイトのプロビジョニング方法と退職したチームメイトのデプロビジョニング方法を設定する必要があります。

デフォルトのチームメイトシートと権限を設定する

identity providerによって新しいチームメイトが作成されると、Intercomはデフォルトのシートと権限セットを付与します。

  1. 設定 > ワークスペース > セキュリティ > 認証方法に移動します。

  2. SAML SSOが有効になっていることを確認してください。

  3. プロビジョニングセクションを開きます。

  4. 「デフォルトのチームメイト権限」の下で編集をクリックします。

  5. 新しいチームメイトにプロビジョニング時に付与するシートと権限をオンに切り替えます。

デプロビジョニング設定の構成

チームメイトがIdPによってデプロビジョニングされると、そのアカウントはIntercomから削除されます。この設定は、割り当てられたアイテム(会話、記事など)が誰に再割り当てされるかを制御します。

  1. 設定 > ワークスペース > セキュリティ > 認証方法に移動します。

  2. SAML SSOが有効になっていることを確認してください。

  3. プロビジョニングセクションを開きます。

  4. デプロビジョニングセクションで、各データタイプの所有権を誰に割り当てるか選択できます。

    1. デフォルトオプションを選択すると、Intercomはワークスペース内の最初のチームメイトにアイテムを割り当てます。これらは後で再割り当て可能です。

    2. 特定のチームメイトをデプロビジョニングから除外することもできます。これは、誤設定や緊急時にITチームがIntercomワークスペースへのアクセスを維持するのに役立ちます。

SCIMがチームメイトを管理する方法

設定が完了すると、IdPがIntercomのチームメイトを管理します。

チームメイトの作成

これは一般的なユーザープロビジョニングの流れです:

  • ITチームが会社のidentity providerディレクトリに新しいチームメイトを追加します。

  • ITチームがIdPのプラットフォームで新しいチームメイトにIntercomアプリを割り当てます。

  • IdPがHTTPリクエストをIntercomに送信し、Intercomワークスペースに新しいチームメイトを作成します。

  • 新しいチームメイトには、自動的にデフォルトのチームメイト権限で設定した権限とシートが付与されます。

注意:同じメールアドレスの管理者アカウントがすでにIntercomに存在する場合、SCIMはこの既存アカウントに顧客のワークスペースへのアクセス権を付与します。

チームメイトの更新

ITチームがIdPのディレクトリでチームメイトの名前を変更すると、IdPはHTTPリクエストをIntercomに送信してチームメイトの名前を更新します。

チームメイトの削除

これは一般的なユーザーSCIMデプロビジョニング設定です。

  • ITチームがIdPでチームメイトからIntercomアプリの割り当てを解除します。

  • IdPがHTTPリクエストをIntercomに送信して、チームメイトをワークスペースから削除します。

  • Intercomは自動的に、そのチームメイトに割り当てられたすべてのオブジェクト(会話、送信メッセージ、連絡先、記事)をデプロビジョニングチームメイト設定に従って再割り当てします。

重要な無効化警告:現在Intercomのチームメイトは「アクティブ」または「削除済み」のいずれかの状態です。Intercomはチームメイトのソフト削除、無効化、アーカイブ状態をサポートしていません。

identity providerでチームメイトがアクティブでない場合、そのアカウントはIntercomワークスペースから永久に削除されます。チームメイトが他のワークスペースにアクセス権を持っている場合、そのアクセスは保持されます。

SCIMを介したチームメイト権限の管理

identity providerのグループをIntercomにプッシュし、それらのグループを特定のチームメイトロールにマッピングできます。詳細はSCIMグループを使ったチームメイトロールの自動割り当ての記事をご覧ください。

制限事項と重要な注意点

既知の制限事項

現在のSCIM実装では以下をサポートしていません:

  • チームへのチームメイトの追加またはチームからの削除

  • プロビジョニング時のデフォルトロールの付与(これはSCIMグループマッピングで行う必要があります)

重要な注意点

注意:

  • Intercomのプロビジョニング機能はSCIMプロトコルのバージョン2.0を使用して構築されています。

  • Intercomはメールアドレスを大文字小文字を区別しないものとして扱います(例:「Teammate@example.com」は「teammate@example.com」と同じです)。

  • リクエストに「displayName」パラメータが送信された場合、「name」パラメータの代わりに使用されます。

関連記事
チームメイトを追加、削除/削除、またはエクスポートする
IDプロバイダーと連携し、SAML SSOでログインする
SCIMグループでチームメイトの役割を自動割り当て
こちらの回答で解決しましたか?