SCIMによるプロビジョニング
System for Cross-domain Identity Management (SCIM) プロバイダーを接続することで、アイデンティティプロバイダー (IdP) を通じて、ユーザーごとに Cloudflare ダッシュボードへのアクセスをプロビジョニングできます。
現在、SCIM サポートはエンタープライズ顧客および Microsoft Entra と Okta のみ提供しています。SCIM サポートの設定に興味がある場合は、アカウントチームに連絡し、ダッシュボード SCIM をリクエストしてください。
- エンタープライズアカウントの唯一のスーパーユーザーがいる場合、そのユーザーはプロビジョニング解除されません。
- Cloudflare は現在、アカウントスコープのロール のみをサポートしており、SCIM を介したドメインスコープのロールのプロビジョニングはサポートしていません。この制限については作業中です。
- Cloudflare は現在、将来の開発のためにカスタムグループ名を許可していません。
- Cloudflare の SCIM によるプロビジョニングはエンタープライズ顧客のみ利用可能で、Cloudflare 専用の機能フラグが必要です。詳細についてはアカウントチームにお問い合わせください。
- Cloudflare でのアカウントのスーパーユーザー アクセス。
- アイデンティティプロバイダーでアプリケーションとグループを作成する能力。
-
次の権限を持つAPI トークンを作成します。
タイプ アイテム 権限 アカウント アカウント設定 読み取り アカウント アカウント設定 編集 ユーザー メンバーシップ 読み取り ユーザー メンバーシップ 編集 -
アカウントリソースの下で、ドロップダウンメニューから含めるまたは除外する特定のアカウントを選択します。
-
要約に進むを選択します。
-
権限を確認し、トークンを作成を選択します。
-
トークン値をコピーします。
-
Okta ダッシュボードで、アプリケーション > アプリケーションに移動します。
-
アプリカタログをブラウズを選択します。
-
**SCIM 2.0 テストアプリ (OAuth ベアラートークン)**を見つけて選択します。
-
統合を追加を選択し、統合に名前を付けます。
-
次のオプションを有効にします:
- ユーザーにアプリケーションアイコンを表示しない
- Okta モバイルアプリにアプリケーションアイコンを表示しない
-
ユーザーがログインページに到達したときに自動的にログインするを無効にします。
-
次へを選択し、次に完了を選択します。
- 統合ページで、プロビジョニング > API 統合の設定に移動します。
- API 統合を有効にするを有効にします。
- SCIM 2.0 ベース URL に次を入力します:
https://api.cloudflare.com/client/v4/accounts/<your_account_ID>/scim/v2。 - OAuth ベアラートークンに API トークン値を入力します。
- グループのインポートを無効にします。
- 保存を選択します。
- アプリへのプロビジョニングで、編集を選択します。
- ユーザーの作成とユーザーの非アクティブ化を有効にします。保存を選択します。
- 統合ページで、割り当て > 割り当て > グループに割り当てに移動します。
- Cloudflare SCIM グループにユーザーを割り当てます。
- 完了を選択します。
これにより、影響を受けるすべてのユーザーが「最小限のアカウントアクセス」で Cloudflare アカウントにプロビジョニングされます。
-
ディレクトリ > グループ > グループを追加に移動し、次の名前のグループを追加します:
CF-<your_account_ID> - <Role_Name> -
アプリケーションオブジェクトで、プロビジョニングに移動し、編集を選択します。
-
ユーザーの作成とユーザーの非アクティブ化を有効にします。保存を選択します。
-
グループをプッシュに移動し、適切なグループが Cloudflare 上の同名の既存グループと一致していることを確認します。
-
グループの名前を変更を無効にします。保存を選択します。
-
グループをプッシュタブ内で、グループをプッシュを選択します。
-
作成したグループを追加します。
-
保存を選択します。
これらのグループにユーザーを追加すると、そのユーザーにロールが付与されます。アイデンティティプロバイダーからユーザーを削除すると、関連するロールからも削除されます。
- Microsoft Entra ID インスタンスに移動し、エンタープライズアプリケーションを選択します。
- 独自のアプリケーションを作成を選択し、アプリケーションに名前を付けます。
- **ギャラリーに見つからない他のアプリケーションを統合 (非ギャラリー)**を選択します。
- 作成を選択します。
- サイドバーメニューの管理の下で、プロビジョニングを選択します。
- プロビジョニングモードのドロップダウンメニューで自動を選択します。
- API トークン値とテナント URL:
https://api.cloudflare.com/client/v4/accounts/<your_account_ID>/scim/v2を入力します。 - 接続のテストを選択し、次に保存を選択します。
現在、グループは特定の形式に一致する必要があり、特定の Cloudflare アカウントレベルのロールをプロビジョニングします。Cloudflare は、将来的に自由形式のグループ名を受け入れる Cloudflare グループを追加するプロセスにあります。
これらの権限は、CF-<your_account_ID> - <Role_Name> という形式の正確な文字列一致で機能します。
詳細については、ロールのリストを参照してください。
- 必要なグループのみがプロビジョニングされるように、Microsoft Entra ID インスタンスに移動します。
- サイドバーメニューの管理の下で、プロビジョニングを選択します。
- マッピングでEntra グループをプロビジョニングを選択します。
- ソースオブジェクトスコープの下ですべてのレコードを選択します。
- スコーピングフィルターを追加を選択し、必要なグループのみをキャプチャするための適切なフィルタリング基準を作成します。
- OKを選択して属性マッピングを保存し、エンタープライズアプリケーションプロビジョニングの概要ページに戻ります。
- プロビジョニングを開始を選択して、Cloudflare ダッシュボードに新しいユーザーとグループが表示されるのを確認します。