インターネットとSaaSへのセキュアなアクセス(ZIA)
SCIMについて
SCIM(クロスドメインID管理システム)は、プロビジョニングとユーザーとグループの管理に使用できる標準プロトコルです。Zscalerは、ユーザーがSCIMを使用してZscalerクラウド内のユーザー アカウントとグループ アカウントのライフサイクルを管理するための簡単で一貫性のあるメカニズムを提供します。
SCIMは次の目的で使用できます。
- ユーザーおよびグループをZscalerにプロビジョニングします。プロビジョニングの詳細については、「プロビジョニングと認証方式の選択」を参照してください。
- Zscalerのユーザー データベース上のユーザーのグループと部門を自動的に更新して、ユーザー ディレクトリーの変更を反映する
- ユーザーがユーザー ディレクトリーから削除されたときにZscalerのデータベースからユーザーのプロビジョニングを解除する
ZscalerサービスでSCIMを使用する方法は2つあります。まず、カスタムSCIMクライアントを使用して、REST API呼び出しをZscaler行うことができます。詳細は、「SCIM APIの例」を参照してください。次に、Zscalerと提携しているIdPの1つを使用できます。
IdPの設定ガイドについては、以下を参照してください。
- Microsoft Entra ID (旧称Azure Active Directory)のSAMLおよびSCIMの構成ガイド
- Okta用SAMLおよびSCIM設定ガイド
- PingFederate用SAMLおよびSCIM設定ガイド
ユーザーを作成するときは、ユーザー名に含まれるドメインをZscalerに事前登録する必要があります。たとえば、ユーザーのユーザー名が「test @safemarch .com」、ドメインが「safemarch.com」の場合、Zscalerでテナントに登録する必要があります。Zscalerサポートは、プロセスを手伝うことができます。さらに、1人のユーザーに関連付けられるグループの総数は128を超えることができません。
ZscalerはSCIMバージョン2.0のみをサポートしており、プロビジョニングにSCIMを使用するには、認証方法としてSAMLを使用する必要があります。
ZscalerのSCIMサーバーでサポートされる操作
操作方法 | HTTPリクエスト |
エンドポイント/ユーザー | |
ユーザー作成 | ポスト /ユーザー |
すべてのユーザーを取得 (最大1,000エントリー) | GET /ユーザー |
すべてのユーザーを取得(指定されたインデックス値から1,000ユーザー) | GET /Users?startIndex=<value> |
特定のユーザーを検索する | GET /Users/{UserID} |
ユーザー名でユーザーを絞り込む | GET /Users?filter=userName eq <値> |
外部IDによるユーザーの絞り込み | GET /Users?filter=externalID eq <値> |
IDでユーザーの絞り込み | GET /Users?filter=id eq <値> |
作成日後の日付でユーザーをフィルタリング | GET /Users?filter=meta.lastModified gt <値> |
ユーザーのアップデート | PUT /Users/{UserID} または PATCH /Users/{UserID} |
ユーザーを削除 | DELETE /Users/{UserID} |
エンドポイント /グループ | |
グループ作成 | POST /グループ |
すべてのグループを取得(最大1,000エントリー) | GET /グループ |
すべてのグループを取得(指定したインデックス値から1,000グループ) | GET /Groups?startIndex=<value> |
特定のグループを取得する | GET /Groups/{GroupID} |
グループの表示名とメンバーで絞り込む | GET /Groups?filter=displayName eq <値> and members.value eq <値> |
アップデートグループ | PUT /Groups/{GroupID} または PATCH /Groups/{GroupID} |
グループ削除 | DELETE /Groups/{GroupID} |
エンドポイント/一括 | |
リソースの一括変更 | POST |
エンドポイント/スキーマ | |
すべてのリソーススキーマを取得する | GET /Schemas |
特定のリソーススキーマを取得する | GET /Schemas/{SchemaID} |
Endpoint /ServiceProviderConfig | |
サービスプロバイダの設定情報を取得する | GET |
Endpoint /ResourceTypes | |
すべてのリソースタイプを取得する | GET /ResourceTypes |
特定のリソースタイプを取得する | GET /ResourceTypes/{ResourceTypeID} |
Endpoint [prefix]/.search | |
リソースの種類を検索する | POST |
アトリビュート・マッピング
ユーザー情報
SCIMユーザー | Zscaler人のユーザー | 説明 |
アイド | <unique_id> | Zscalerによって生成された一意のID。例:1a234567-1b23-1200-1234-123c |
externalId | scim_externalid | クライアントから提供された外部IDは、Zscalerのユーザー データベースに入力されます |
ユーザー名 | ユーザーID (login_name) | 実際に認証に使用されるユーザーID。想定される形式はuser@domainです。例:user1@safemarch.com |
displayName | ユーザー表示名(user_name) | ユーザーの表示名 |
Groups | Groups | ユーザーが所属するグループ |
有効なヘルスモニター(AHM) | 「active=false」の場合、Zscalerはこのユーザーを無効にします 「active=true」の場合、Zscalerはこのユーザーを有効にします | |
部署 | 部門 | ユーザーが所属する部署 |
name.givenName | ファーストネーム | ユーザーのファーストネーム |
name.familyName | ラストネーム | ユーザーのラストネーム |
電子メールの値 | scim_emails | ユーザーの電子メールアドレス |
グループ情報
SCIMグループ | Zscalerグループ | 説明 |
アイド | <unique_id> | Zscalerによって生成された一意のID。例:1a234567-1b23-1200-1234-123c |
externalId | scim_externalid | クライアントから提供され、Zscalerのデータベースに保持されている外部ID |
displayName | 名前 | グループの表示名 |