SCIMによるプロビジョニング

System for Cross-domain Identity Management (SCIM) は、自動化され、安全で、拡張可能なユーザー・ライフサイクル管理を可能にします。標準化されたSCIM APIを活用することで、IDプロバイダ（IdP）はエクイニクスのユーザーアカウントを作成、更新、削除できるため、手作業によるプロビジョニングが不要になり、システム間で一貫性のある最新のアクセスを確保できます。

SCIM ベースのプロビジョニングを有効にすると、Federated SSO を介した手動によるユーザープロファイル管理が、標準化された API による自動化で置き換えられます。アイデンティティプロバイダー（IdP）は、SCIM APIを使用してエクイニクスのユーザーアカウントを自動的に作成、更新、削除します。認証は引き続きSAMLまたはOIDC経由でIdPが行います。

SCIMプロビジョニングフロー

SCIM API 呼び出しによるユーザープロビジョニングを有効にします：

1. エクイニクスカスタマーポータル で、Administration メニューを表示し、Account and Security Management を選択します。

   メモ

   管理 メニューは、管理者のみが表示できます。

2. Federated Single Sign-On をクリックすると、フェデレーションの詳細画面が表示されます。または、https://federation.equinix.com/にアクセスすることもできます。

3. プロビジョニング］タブを選択します。このオプションは、連携接続のセットアップに成功し、連携認証を使用してログインした場合に使用できます。

   

4. ユーザープロファイルのプロビジョニングに SCIM API を有効にするには、トグルをクリックします。SCIM API 呼び出しを有効にすると、ユーザーの Federated SSO アクセスが無効になります。このプロセス中は、セルフサービスフェデレーション（SSF）ポータルで他のアクションを実行できません。

   

5. 組織のユーザ数によっては、処理に最大 5 分かかることがあります。自動プロビジョニングが正常に有効になると、SCIM API のセットアップに進むことができます。

6. SCIM API アクセス用のトークンを生成するには、Generate New Token をクリックします。トークンは一度に 2 つまで持つことができます。新しいトークンが必要な場合は、まず既存のトークンを削除してください。生成されたトークンとエンドポイント URL を ID プロバイダ（IdP）にプロバイダして接続を確立します。

   

7. トークンの詳細が表示されます。トークンをコピーして安全な場所に保存してください。APIエンドポイントにアクセスするには、トークンが必要です。

   

   メモ

   トークンの詳細が表示されるのはこの時だけです。トークンを紛失した場合は、既存のトークンを削除し、新しいトークンを生成する必要があります。

8. プロビジョニングのセットアップを開始するには、プロビジョニングのセットアップ をロールオーバーして、プロビジョニングのタイプを選択します。

9. すべてのユーザーをプロビジョニングするには Not restricted を、特定の IdP グループにプロビジョニングを制限するには Restrict by group membership を選択します。これで、お使いの環境の自動ユーザー管理が完了します。

10. セクションにカーソルを合わせて編集または削除するか、_Pause_をクリックして同期を停止します。同期を再開するには、いつでも_Enable_をクリックできます。

グループベースのプロビジョニングの設定

エクイニクスは、SCIMを利用した制限付きプロビジョニングをサポートしており、企業はユーザーのプロビジョニングを特定のIDプロバイダー（IdP）グループに制限できます。この設定は、エクイニクスのシステムにプロビジョニングするユーザーをより細かく管理したいお客様に最適です。

SCIMプロビジョニングを有効にする場合、次のいずれかを選択できます：

• 制限なし - IdP からのすべてのユーザーがプロビジョニングされます。
• Restricted by group membership - 指定されたグループに属するユーザーのみがプロビジョニングされます。

これを設定するには、次の手順に従います：

1. Provisioning Synchronizationセクションで、適切なプロビジョニング設定を選択します。
2. プロビジョニング設定を完了します。

SCIM プロビジョニングはいつでもオンまたはオフに切り替えることができます。SCIM プロビジョニングをオフにすると、構成が完全にリセットされます。このオプションは、SCIMベースのプロビジョニングを完全にリセットまたは中止する場合にのみ使用してください。

連携顧客向けSCIMグループ管理

エクイニクスは、連携プロバイダ（IdP）向けにSCIMベースのグループプロビジョニングをサポートしており、お客様は既存のグループ構造を使用してアクセスを管理できます。これにより、組織階層に沿った役割の割り当て、アクセススコープ、監査ロギングが可能になります。

SCIMグループ管理は、単一の連携接続の下に複数の組織を持つお客様のために、以下を可能にします：

• グループベースの役割割り当て ：ロールをプロバイダグループ（IdP グループ）に割り当てることで、グループの全メンバーが自動的に権限を継承します。
• ネストされたグループのサポート ：エクイニクスはネストされたメンバーシップを解決し、子グループのメンバーが親グループの権限を継承できるようにします。
• Org-Level Access Inheritance ：親組織レベルでグループに割り当てられたロールは、子組織とその関連リソースに自動的に適用できます。
• スコープアクセス ：グループの割り当てを特定の組織やプロジェクトにスコープすることができるため、アクセス境界を社内構造と一致させ、組織横断的なアクセスを防ぐことができます。
• 個々のロールの保持 ：グループから削除されたユーザーは、個別に割り当てられたロールを保持します。
• 監査ログ ：すべてのグループライフサイクルイベントとメンバー変更は、コンプライアンスのためにログに記録されます。
• 複数組織エンドポイントのサポート ：1つのSCIMエンドポイントが、メタデータを使用して複数の組織を管理できます。

グループとロールの編集

1. エクイニクスカスタマーポータルにアクセスし、左側のメニューからIdentity & Access Management を選択します。

   

2. Identity and Access Management_ページで、上部のナビゲーションバーからGroups 。

3. 管理するグループを探します。グループ行の右側で、アクションメニューをクリックして、グループの詳細を表示または編集します。

   

4. グループ詳細の表示］をクリックして、［グループ詳細］ページを開きます。

   

5. グループ行の右側で、［役割の詳細を表示］ をクリックして、役割情報を表示します。グループの編集 をクリックして、利用可能な役割のリストを確認および編集します。

   

   

6. Edit Group をクリックして、Edit Group ページを開き、使用可能なロールを確認します。検索フィールドまたは役割カテゴリによるフィルタを使用して、リストを絞り込みます。

   

7. ボックスにチェックを入れて、グループに追加するロールを選択します。次へ をクリックします。

   

8. 選択を確認します。役割の変更は、グループ内のすべてのユーザーの権限に影響します。変更の適用 をクリックします。

   

EntraIDとOktaの設定

EntraIDとOktaの設定方法については、以下を参照してください：

• Configuring Microsoft Entra ID for Equinix Federated SSO

• Configuring Okta for Equinix Federated SSO