このガイドには、LDAPユーザー同期を使用したActive Directory (AD)からZIA管理ポータルのSCIMプロビジョニングに移行する方法に関する情報が記載されています。

前提条件

次の前提条件が満たされていることを確認してください。

• ZIA管理ポータルでリポジトリー タイプをActive Directoryに設定します。
• 認証にはSAMLを使用し、プロビジョニングにはADを使用します。
• ADがデータベースをZscalerとIdPに同期していることを確認します。

ADからSCIMに移行する場合は、ZIA管理ポータルでデータベース タイプをActive Directoryからホスト型DBに変更しないでください。これを行うと、既存のユーザーとグループのマッピングがすべて削除される可能性があり、SCIMプロビジョニングで重複したユーザーが作成されます。

SCIMへの移行

ADからSCIMプロビジョニングに移行するには、次の操作を実行します。

1. [管理]>[認証設定]に移動します。

2. [今すぐ同期]をクリックして、ADとの手動同期を実行します。これにより、ZscalerサービスでADの最新のデータベースが確実に取得されます。

   画像を見る。

   

   閉じる

3. (省略可) IdPアプリケーションで手動同期を実行して、IdPアプリケーションにADからの最新のユーザー データが確実に含まれるようにします。

4. ZIA管理ポータルで、[管理]>[認証設定]に移動し、[ディレクトリー同期を無効化してSCIMプロビジョニングを有効化]を有効にします。

   画像を見る。

   

   閉じる

5. [アイデンティティー プロバイダー]タブに移動し、使用する予定のIdPの[編集]アイコンをクリックします。

6. [プロビジョニング オプション]セクションで、[SCIMプロビジョニングを有効化]をクリックし、IdPアプリケーションでSCIMを設定するときに必要となる、[ベースURL]と[ベアラー トークン]をコピーします。

   画像を見る

   

   閉じる

   Zscalerでは、SCIMプロビジョニングを使用する場合は、[SAML自動プロビジョニングを有効化]を無効にすることを推奨しています。

7. ステップ5でコピーした情報を使用して、選択したIdPアプリケーションでSCIMプロビジョニングを設定します。

   IdPが設定されたら、IdPから同期するユーザーがZIA管理ポータルのユーザー ページのユーザーと一致していることを確認します。

[ディレクトリー同期を無効化してSCIMプロビジョニングを有効化]オプションを無効にしたり、リポジトリのタイプを変更したりしないでください。Zscaler認証ブリッジ(ZAB)を使用している場合、数日後にプロビジョニングの問題が見られなければ、ZAB VMを無効化しても構いません。

SCIMからADプロビジョニングに戻す必要がある場合は、次の手順を実行します。

1. [管理]>[認証設定]>[アイデンティティー プロバイダー]の順に移動し、使用したIdPの[編集]アイコンをクリックします。
2. [SCIMプロビジョニングを有効化]オプションを無効にします。
3. [デフォルト設定]ページで、[ディレクトリー同期を無効化してSCIMプロビジョニングを有効化]オプションを無効にします。
4. 以前にSCIMを設定したIdPアプリケーションで、SCIM設定を無効にします。
5. ZIA管理ポータルで、[管理]>[認証設定]>[デフォルト設定]に移動し、[今すぐ同期]をクリックします。