対象
以下の条件を満たすお客様が対象です。
- HENNGE One Pro または HENNGE One IdP Pro プランを利用している。
- Access Control と Cybozu を SSO 連携で利用している。
目的
- Access Control と Cybozu のユーザープロビジョニングを設定します。
- 本設定を行うと、Access Control のユーザー情報を Cybozu に連携することができます。
注意事項
- 本記事の内容は 2025 年 3 月時点での製品仕様に基づき作成しており、以後予告なく変更される場合があります。
- 実際の画面確認や、設定の変更には Access Control のグローバル管理者権限が必要です。
- Cybozu の制限事項は、以下のページをご確認ください。
cybozu.com ヘルプ プロビジョニング 制限事項(外部リンク) - Cybozu とのシングルサインオン連携を実施することは必須要件ではありませんが、その場合はユーザー プロビジョニング機能で作成されたユーザーのパスワードを Cybozu 側で別途設定いただく必要があります。
- Cybozu のユーザーは、ライセンスが付与されない (利用サービスが選択されない) 状態で作成されます。
- Cybozu の [プロビジョニングの反映] が有効状態のときに Cybozu へ手動で追加したユーザーは、プロビジョニングの対象外となります。
手動作成したユーザーをプロビジョニング対象にするためには、一度 Cybozu のプロビジョニング設定を無効化し、再度有効化してください。 - Cybozu で無効状態のユーザーをプロビジョニングによって有効化することはできません。
ユーザーを有効化する場合は、Cybozu にて手動で有効化を実施してください。 - Cybozu の ログイン名 にマッピングされている属性の値を、Access Control 上から変更すると、ユーザー同期の際に Cybozu に新規ユーザーが作成されます。
また、値を更新する前のユーザーの状態は、[Access Control で削除されたユーザーの取り扱い] の設定に準じます。
詳細は手順 6. をご参照ください。
手順
事前確認事項
- Access Control の [サービスプロバイダー設定] で Cybozu のシングルサインオン設定をしていない場合は、事前に設定をしてください。
サービスプロバイダー設定を追加する - 対象のサービスプロバイダーへのアクセスを許可されているユーザーが、プロビジョニングの対象となります。
必要に応じてアクセス許可設定をします。
Access Control 新規ユーザーの作成 / 編集
Access Control アクセスポリシーグループの作成 / 編集 - 事前に Cybozu のプロビジョニング設定で、API トークンを発行してください。
cybozu.com ヘルプ プロビジョニングを有効にする(外部リンク) - 初回同期は、 Access Control と Cybozu のユーザー差分の有無に関わらず、 Access Control 側 の情報を上書きします。差分検知は行われません。
デフォルト属性マッピング
属性マッピングを設定しない場合の連携項目は以下の表をご確認ください。
ログイン名以外の属性は、属性マッピングを変更することができません。
|
Cybozu |
Access Control |
備考 |
|
| ログイン名 | username | ユーザー名 |
当項目で設定した値をもとに、ユーザーを一意に識別します。 |
| メールアドレス | |||
| 姓 | family_name | 姓 |
属性のマッピングを変更することができません。 |
| 名 | given_name | 名 |
属性のマッピングを変更することができません。 |
| 表示名 | display_name | 表示名 |
属性のマッピングを変更することができません。 |
| メール | メールアドレス |
属性のマッピングを変更することができません。 |
|
手順
1. [プロビジョニング設定] 画面を開く
Access Control 管理画面を開き、左メニュー [システム] - [プロビジョニング設定] を選択します。
2. 設定画面を開く
[Access Controlからの同期] の [設定] ボタンをクリックします。
すでに利用中のサービスがある場合は、[サービスの追加] ボタンをクリックします。
3. サービスの選択
[ステップ1: ユーザーを同期するサービスを選択する] 画面で、[Cybozu] を選択します。
4. HENNGE One の認証を設定
HENNGE One 認証 の設定がすでにある場合は、手順 5. に進んでください。
[ステップ2:アカウントを確認します。] 画面で、[認証キーの生成] をクリックします。
[認証の設定] 画面で、HENNGE One の [新しい認証を追加] をクリックします。
[クライアントID]、[クライアント秘密鍵] をコピーして、[HENNGE One の認証] 画面にそれぞれ入力します。
[認証] ボタンをクリックします。
5. Cybozu の認証を設定
[認証の設定] 画面で、SCIM の [新しい認証を追加] をクリックします。
すでにコネクションが存在する場合は、[新しいコネクションを追加する] をクリックします。
事前に Cybozu で発行した [SCIM エンドポイント] と [API トークン] を入力し、[認証] ボタンをクリックします。
※ 詳細は事前確認事項をご参照ください。
再度 [認証の設定] 画面が表示されますので、SCIM をクリックして一覧を表示し、作成したコネクションの右側に表示される鉛筆マークをクリックします。
コネクション名を、サービスごとに管理しやすい任意の名称に変更し、[設定] をクリックします。
認証の設定が終わったら、[次へ] をクリックします。
6. 同期対象の設定
[同期対象のサービスプロバイダー] 項目で、事前に登録した HENNGE One のサービスプロバイダーの一覧から Cybozu を選択します。
[Access Controlで削除されたユーザーの取り扱い] を選択します。
選択できる項目は以下の通りです。
・削除する :対象ユーザーを Cybozu から削除します。
・無効にする:対象ユーザーを Cybozu 上で無効にします。ユーザーは削除されません。
・そのまま :対象ユーザーを Cybozu 上にそのままの状態で残します。
7. 連携キーのマッピング
[連携キーのマッピング] 画面で、Cybozu の [ログイン名] に同期する Access Control 属性を指定します。
マッピングする属性は [標準属性] または [カスタム属性] からいずれか 1 つを選択してください。
ログイン名以外の属性は、デフォルトの属性マッピングが適用されます。
デフォルトの属性マッピング
8. 同期対象外ユーザーの設定
同期の対象から外したいユーザーを選択します。
同期の対象外としたいユーザーがいる場合はチェックをつけてください。
すべてのユーザーを同期対象とする場合は、何も選択せずに [完了] をクリックしてください。
設定が完了すると、[プロビジョニング設定] 画面に「Cybozu」が表示されます。
参考
・ユーザープロビジョニングの実行および実行結果の確認
・ユーザープロビジョニング設定の確認 / 削除