SCIM プロビジョニングは、Enterprise 組織のメンバーシップとグループをアイデンティティプロバイダーと同期させます。この記事では、何が同期されるか、同期がどのようにトリガーされるか、同期を適用する前にプレビューする方法、および再同期時に注意すべき点について説明します。
Enterprise プランで利用可能です。セットアップ手順については、JIT または SCIM プロビジョニングのセットアップを参照してください。
同期される内容
WorkOS 統合を通じてアイデンティティプロバイダー (IdP) を Enterprise 組織に接続すると、IdP から 2 つのものが同期されます。
SCIM ディレクトリからのメンバー
IdP から WorkOS にプッシュしたSCIM グループ
組織内のグループメンバーシップは、カスタムロールを持つメンバーがアクセスできる機能とグループの支出制限を決定します。
自動同期
Enterprise 組織は、IdP がメンバーまたはグループの更新 (追加、削除、編集) を WorkOS にプッシュするたびに、IdP から自動的に変更を受け取ります。
バックグラウンドでは、組織は毎分 WorkOS をポーリングして更新イベントを取得し、キューで処理します。この方法は結果的に一貫性があります。同期は通常数分以内に完了しますが、システムトラフィックが多い期間には数時間かかることがあります。
手動同期
一部のアクションは手動同期を即座にトリガーし、オンデマンドで実行することもできます。
手動同期をトリガーするアクション
プロビジョニングモードを SCIM に変更します。IdP ディレクトリにないメンバーは削除され、IdP ディレクトリにあるメンバーは追加されます。グループマッピングを設定する前に、この初期再同期が完了するまで待つ必要があります。
グループマッピングを有効にします。メンバーとグループの完全なリストが更新されます。新規および既存のメンバーのロールとシートティアは、グループマッピングによって適用され、手動でオーバーライドすることはできません。新しいマッピングを保存した後、「同期」をクリックします。
今すぐ同期して、既存のメンバーのロールとシートティアを再計算します。
組織設定 > グループの「更新を確認」ボタンを使用します。
組織設定 > 組織とアクセスの「同期」ボタンを使用します。ユーザープロビジョニングの下にあります。
注:グループマッピングを通じてシートプロビジョニングまたはシートロールを更新する場合、既存のメンバーは自動的に再同期されません。手動同期をトリガーして変更を適用してください。
グループマッピングを無効にすると、メンバーロールとシートティアを手動で割り当てる機能が復活します。既存のメンバーは現在のロールを保持します。新しいメンバーにはユーザーロールが割り当てられます。カスタムロール権限を有効にする場合は、ロールを「カスタム」に変更してください。
手動で同期をトリガーする方法
管理設定の 2 つの場所から手動同期をトリガーできます。
グループページから
組織設定 > グループに移動します。
SCIM 同期の下の「更新を確認」をクリックします。
メンバー、グループ、またはその両方を同期するかどうかを選択します。
SCIM 管理ページから
組織設定 > 組織とアクセスに移動し、ユーザープロビジョニングセクションまでスクロールします。
「同期」をクリックします。
メンバー、グループ、またはその両方を同期するかどうかを選択します。
注:バックグラウンド変更の処理中に手動同期をトリガーする場合、組織は各メンバーまたはグループの最新の変更を取得します。同じメンバーまたはグループに対して複数の変更がキューに入っている場合、すべてが正しく適用されていることを確認するために再同期が必要になる場合があります。
同期を適用する前にプレビューする
手動再同期を実行すると、管理コンソールは何かが適用される前に同期が何をするかのプレビューを表示します。プレビューは同期フロー内に自動的に表示され、同期が追加、削除、または変更するメンバーの数と、ディレクトリデータがどのくらい最新であるかを示します。
確認する前にプレビューを確認してください。数値が予想と一致しない場合 (たとえば、実際に退職した人よりもはるかに多くの削除がある場合) は、同期をキャンセルし、続行する前に IdP ディレクトリとグループマッピングを確認してください。
同期がメンバーの異常に大きなシェアを削除する場合、プレビューに警告が表示されます。これにより、アクセスを保持すべき人を削除する前に、設定が誤ったマッピングをキャッチできます。この警告が表示されたら、続行する前に変更が意図的であることを確認してください。
メンバー同期とグループ同期
手動同期をトリガーする場合、メンバー、グループ、またはその両方を同期することを選択できます。各操作の内容は次のとおりです。
メンバー同期は、どのメンバーがシート、シートティア、シートロール (カスタム、ユーザー、管理者、所有者) にマップされているかについて、組織の記録を更新します。これはメンバーの Claude へのログインアクセスに影響を与える可能性があります。
グループ同期は、どの SCIM グループが存在し、誰がそれに属しているかについて、組織の記録を更新します。グループメンバーシップは、カスタムロールを持つメンバーが使用できる機能とグループの支出制限を決定します。
手動同期にかかる時間
手動同期は WorkOS をスキャンして、メンバーとグループの完全なリストを取得し、最新のベースラインを確立します。組織内の 100 メンバーあたり約 1 分かかることを想定してください。つまり、1,000 メンバーの組織は完全に再同期するのに約 10 分かかります。
同期ステータスの確認
組織のメンバーシップとグループが最新であるかどうかを確認するには、2 つのオプションがあります。
メンバーリストをエクスポートします。組織設定 > メンバーに移動し、「CSV をエクスポート」をクリックして、メンバーシップの現在のビューをダウンロードします。
WorkOS 統合のレコードを表示します。組織設定 > 組織とアクセスに移動し、「SCIM を管理」をクリックして、WorkOS が組織に対して現在保持しているものを確認します。
再同期時に注意すべきリスク
手動再同期をトリガーする前に、以下を念頭に置いてください。
プロビジョニングモードを SCIM に変更すると、IdP ディレクトリにないメンバーが削除されます。プロビジョニングモードを変更する前に、すべての既存メンバーが IdP ディレクトリにいることを確認してください。
メンバーのメールアドレスを更新すると、新しいメンバーレコードが作成されます。古いメールアドレスを持つメンバーは削除され、新しいメールアドレスを持つ新しいメンバーが作成されます。
再同期は子組織にカスケードします。同じ親組織の下に SCIM プロビジョニングを備えた複数の組織がある場合、1 つを再同期すると、他の組織でも再同期がトリガーされます。これには、同じ親を共有するサンドボックス組織が含まれます。
不完全なグループマッピングはメンバーを組織から削除します。SCIM のグループマッピングを有効にする場合、保存する前にすべてのグループの割り当てを完了してください。ロールグループマッピングに含まれていないメンバーは組織から削除されます。シートティアマッピングを有効にする場合、シートティアグループマッピングに含まれていないメンバーも削除されます。