FAQ SCIM IdP連携を行うには

こちらでは以下項目を説明しています。
　・Re:lationで動作確認済のIDプロバイダ（IdP）
　・Re:lationで自動プロビジョニング（SCIM）を有効にする
　・IDプロバイダ（IdP）に設定をする
　・SCIM連携後
　・ユーザの同期についての諸注意
　・権限グループの同期についての諸注意
　・SCIM連携を無効化した場合

SCIM連携を行うことにより、IdPのユーザ情報をRe:lationに同期することができます。

・Azure Active Directory

※上記のサービス以外にも連携できる場合がございます。
連携をご希望の場合、は「support@ingage.jp」までお問い合わせください。

まずRe:lationで自動プロビジョニング（SCIM）を有効にし、アクセストークンを発行します。

1.Re:lation画面左下のツールアイコンより［システム設定］＞［ログイン認証定］＞［SAML／SCIM］をクリックします。

2.ページを下までスクロールし、［SCIM　IdP連携］のメニューアイコン［…］より、「有効にする」をクリックします。

3.連携設定が有効になり、アクセストークンが発行されます。
ここで表示されている「アクセストークン」と「SCIM APIベースURL」をIdPに入力するため、どこかに控えておきます。

Re:lationの「アクセストークン」と「SCIM APIベースURL」をIdPに入力し、設定をします。
各IdPでの設定方法は以下、またはIdP側のヘルプページをご参考ください。
　・Azure Active Directory

・SCIM連携が完了すると、同期されたユーザには「SCIM」ラベルがつけられます。

・新規ユーザをSCIM連携によって登録した場合、登録メールは通知されません。SAMLでログインすることになります。

・また、以下の操作はRe:lation上ではできません。
　- 姓・名・部署名・社員番号の変更
　- ロックおよび削除

・権限グループを同期した場合も、「SCIM」ラベルがつけられます。

・また、以下の操作はRe:lation上ではできません。
　　- 権限グループ名の変更
　　- 所属ユーザの追加や削除
　　- 権限グループの削除

・同期のタイミングはIdPによって異なります。IdPによっては反映に時間がかかる場合があります。

・IdPと同期を行い、変更ができるユーザの情報は以下の通りです。
　姓、名、部署名、社員番号、ロック状態
　※メールアドレスをキーにして同期を行います。

・IdPからRe:lationのユーザは削除できません。IdP上でユーザとRe:lationの同期を解除した場合、
　Re:lationではユーザを「ロック」状態とし、その時点でユーザのSCIM連携を解除します。
　Re:lation上から削除をする場合、ロック中となっているユーザを手動で削除してください。

・同期のタイミングはIdPによって異なります。IdPによっては反映に時間がかかる場合があります。
・IdPと同期を行い、権限グループの追加およびグループに所属するユーザの追加や削除が可能です。
　※グループ名をキーにし同期を行います。
・IdPのグループと同期した場合、グループに所属するユーザがRe:lationに登録されていなければ、
　権限グループの作成と同時にユーザの作成を行います。
・IdPのグループを削除した場合、権限グループは削除されます。
　また、削除したグループにのみ所属しているユーザは同時に「ロック中」とします。

SCIM連携を無効化すると、その時点でユーザおよび権限グループのSCIM連携を解除します。
ただし、SCIMで作成したユーザや権限グループは残ります。
再度SCIM連携を有効化すると、再度同期を開始しますが、IdPによっては権限グループの同期が元通りとならない可能性もあるため、ご注意ください。