• /
  • ログイン
  • 無料アカウント

本書は、お客様のご参考のために原文の英語版を機械翻訳したものです。

英語版と齟齬がある場合、英語版の定めが優先するものとします。より詳しい情報については、本リンクをご参照ください。

問題を作成する

ユーザー管理の自動化。SCIM API

IDプロバイダーからのNewRelicユーザーのプロビジョニングと管理をセットアップするために、NewRelic 固有のアプリと実装をまだ持っていないIDプロバイダー向けにSCIMAPIを提供しています。

誰がSCIMAPIを使用する必要がありますか?

New Relicアプリ(Azure AD、Okta、OneLogin)を備えたIDプロバイダーがある場合は、それらのガイドを参照してください。 SCIM APIは、これらのIDプロバイダーを使用していない組織、またはアプリでは使用できない追加の構成(ユーザータイプの管理など)にSCIMAPIを使用したい組織を対象としています。追加の制限:

  • Ping IdentityのPingOneは、グループのプロビジョニングを許可しないため、サポートされていません。

SCIM APIを使用する前に、まずSCIMを有効にして認証ドメインを設定する必要があります。認証ドメインUIは、IDプロバイダーとの統合に使用できる値を提供します。

なお、SCIM APIで統合を設定した後は、一部のユーザーをベーシックユーザーにダウングレードしたり、ユーザーグループにNew Relicアカウントへのアクセス権を付与したりするなど、 次のステップを行う必要があります。

SCIMAPIチュートリアル [#tutorial]

このドキュメントには、SCIMAPIに関する技術情報が含まれています。使用方法の詳細については、 SCIMAPIチュートリアルを参照してください。

SCIMサービスプロバイダー

New RelicのSCIMサービスプロバイダーは、 RFC7643および7644で説明されているSCIM2.0APIに準拠しています。ユーザー情報をNewRelicと統合するために、SCIM2.0仕様のすべての側面を実装する必要はありません。実際、NewRelicサービスプロバイダー自体が仕様のすべての側面を実装しているわけではありません。このドキュメントでは、NewRelicとの統合に利用できる仕様の機能について説明します。

認証

認証には、ベアラートークンが必要です。 このベアラートークンは、New Relic の認証ドメイン に固有のもので、認証ドメインに対して初めて SCIM を有効にする際に表示されます。

サポートされているリソース

New Relicサービスプロバイダーは、次のSCIMリソースをサポートしています: GroupUserService provider configResource typeSchemaBulkSearchはサポートされていません。 RFCがリソースエンドポイントを記述する方法の詳細については、 RFC7644SCIMプロトコル仕様を参照してください。

スキーマ

New Relic は、SCIM コアスキーマで利用可能なフィールドのサブセットを使用します。他の SCIM フィールドが受信リクエストに含まれていても無視されます。New Relic が使用するフィールドは次のとおりです。

Group

SCIMフィールド名

説明

displayName

必須です。 グループの名称です。

members

グループ内のユーザーのリスト。

User

SCIMフィールド名

説明

externalId

お客様のシステムで使用されるユーザーの固有識別子。

userName

必須。 New Relic のシステム内でのユーザーの一意の識別子。ユーザーの電子メールアドレスを使用します。

name.familyName

ユーザーのラストネーム。

name.givenName

ユーザーのファーストネーム。

emails または emails.value

必須です。 ユーザーの電子メールアドレスです。

timezone

IANAタイムゾーンデータベース形式でのユーザーのタイムゾーン。"オルソン" タイムゾーンデータベース形式としても知られている(exmaple,"America/Los_Angeles" )。

active

必須。 ユーザーがNew Relic内でアクティブになるべきか、非アクティブになるべきかを示すブール値。

groups

ユーザーが所属するグループの一覧。

New Relic のユーザータイプ (ベーシック、コア、フル) スキーマ

これは、New Relic 固有のユーザー属性のための、オプションの スキーマ拡張 です。現在は、ユーザーの ユーザータイプ に対してのみ制御を行います。使い方のチュートリアルは、 SCIM API tutorial をご覧ください。

urn:ietf:params:scim:schemas:extension:newrelic:2.0:User

SCIMフィールド名

説明

nrUserType

ユーザータイプfull usercore user 、またはbasic user

対応アクション

SCIMには、グループやユーザーを操作するためのいくつかのオプションがあります。New Relic のサービスプロバイダーは、以下のオプションをサポートしています。

設定する際には、以下の点に注意してください。

  • 単純なフィルタリングのみがサポートされています。 eq演算子は、基本的なフィルター式で使用できます。たとえば、 “displayName eq "Example Group 1” 。他の演算子はサポートされていません。
  • PUT 更新では、すべてのフィールドを含める必要はありません。含まれていないフィールドは変更されません。 PUTを実行するときに、必須フィールドにすでに適切な値がある場合は、フィールドを含める必要はありません。

サポートされているアクションは

RFCからの乖離

このセクションでは、New Relic SCIM サービスプロバイダーが SCIM プロトコルから逸脱している部分について説明します RFC 7644 。セクション番号はRFCのセクション番号を参照しています。

このセクションの項目は、サービスプロバイダーがRFCに完全に準拠するようにするために変更される可能性があります。

RFCセクション名

RFCセクション番号

偏差値の説明

リソースの作成

3.3.

  • meta.locationフィールドが設定されていません。

フィルタリング

3.4.2.2.

  • 現在サポートされている演算子はeqのみです。
  • フィールド名は大文字と小文字を区別します。
  • 文字列属性は、大文字と小文字を区別して比較されます。
  • フィールド名の前にスキーマを付けることはサポートされていません。たとえば、 filter=urn:ietf:params:scim:schemas:core:2.0:User:userName eq "johnsmith"は機能しません。

/Me 認証されたサブジェクトエイリアス

3.11.

  • GET /Meリソースを使用すると404 Not Foundが返されます。

サービスプロバイダー設定用エンドポイント

4.

  • サービスプロバイダーの機能発見エンドポイントは、フィルタリングをサポートしていません。

ベアラートークンとクッキーに関する考察

7.4.

  • 無記名のトークンは、有効期限が設定されていません。

終わった後の次のステップ

次のステップ

ユーザーのユーザータイプを調整する

New Relic でユーザーがプロビジョニングされると、 ユーザー管理 UI で確認できます。

SCIMを介してNewRelicにユーザーを追加しているが、 SCIMを介してユーザータイプを管理してない場合、ユーザーは基本ユーザーとして開始されます。ユーザーをアップグレードするには、次の2つのオプションがあります。

アクセスグラントの割り当て

ユーザーがNew Relicに参加したら、特定のNew Relicアカウント、特定のグループ、特定のロールへのアクセス権を付与する必要があります。これを行わないと、ユーザーは New Relic アカウントへのアクセスができません。この方法については、以下を参照してください。

SAML SSOの設定

ほとんどのSCIMユーザーが行うSAMLSSOを設定する場合は、 SAMLSSOのドキュメントを参照してください。

問題を作成する
Copyright © 2022 New Relic Inc.