SCIM プロビジョニングは、Enterprise 組織のメンバーシップとグループをアイデンティティプロバイダーと同期させます。この記事では、何が同期されるか、同期がどのようにトリガーされるか、再同期時に注意すべき点について説明します。
Enterprise プランで利用可能です。セットアップ手順については、JIT または SCIM プロビジョニングのセットアップを参照してください。
同期される内容
WorkOS 統合を通じてアイデンティティプロバイダー (IdP) を Enterprise 組織に接続すると、IdP から 2 つのものが同期されます。
SCIM ディレクトリからのメンバー
IdP から WorkOS にプッシュしたSCIM グループ
組織内のグループメンバーシップは、カスタムロールを持つメンバーがアクセスできる機能とグループの支出制限を決定します。
自動同期
Enterprise 組織は、IdP がメンバーまたはグループの更新 (追加、削除、編集) を WorkOS にプッシュするたびに、IdP からの変更を自動的に受け取ります。
バックグラウンドでは、組織は毎分 WorkOS をポーリングして更新イベントを確認し、キューで処理します。この方法は結果的に一貫性があります。同期は通常数分以内に完了しますが、システムトラフィックが多い期間には数時間かかることがあります。
手動同期
一部のアクションは手動同期を即座にトリガーし、オンデマンドで実行することもできます。
手動同期をトリガーするアクション
プロビジョニングモードを SCIM に変更します。IdP ディレクトリにないメンバーは削除され、IdP ディレクトリにあるメンバーは追加されます。グループマッピングを設定する前に、この初期再同期が完了するまで待つ必要があります。
グループマッピングを有効にします。メンバーとグループの完全なリストが更新されます。新規および既存のメンバーのロールとシートティアは、グループマッピングによって適用され、手動でオーバーライドすることはできません。新しいマッピングを保存した後、「同期」をクリックします。
今すぐ同期して、既存のメンバーのロールとシートティアを再計算します。
組織設定 > グループの「更新を確認」ボタンを使用します。
組織設定 > 組織とアクセスの「同期」ボタンを使用します。ユーザープロビジョニングの下にあります。
注:グループマッピングを通じてシートプロビジョニングまたはシートロールを更新する場合、既存のメンバーは自動的に再同期されません。手動同期をトリガーして変更を適用してください。
グループマッピングを無効にすると、メンバーロールとシートティアを手動で割り当てる機能が復活します。既存のメンバーは現在のロールを保持します。新しいメンバーには User ロールが割り当てられます。カスタムロール権限を有効にする場合は、ロールを「カスタムロール」に変更してください。
手動で同期をトリガーする方法
管理設定の 2 つの場所から手動同期をトリガーできます。
グループページから
組織設定 > グループに移動します。
SCIM 同期の下の「更新を確認」をクリックします。
メンバー、グループ、またはその両方を同期するかどうかを選択します。
SCIM 管理ページから
組織設定 > 組織とアクセスに移動し、ユーザープロビジョニングセクションまでスクロールします。
「同期」をクリックします。
メンバー、グループ、またはその両方を同期するかどうかを選択します。
注:バックグラウンド変更の処理中に手動同期をトリガーすると、組織は各メンバーまたはグループの最新の変更を取得します。同じメンバーまたはグループに対して複数の変更がキューに入っている場合は、すべてが正しく適用されていることを確認するために再同期が必要になる場合があります。
メンバー同期とグループ同期
手動同期をトリガーすると、メンバー、グループ、またはその両方を同期するかどうかを選択できます。各オプションの機能は次のとおりです。
メンバー同期は、シート、シートティア、シートロール (カスタムロール、User、Admin、Owner) にマップされているメンバーの組織の記録を更新します。これは Claude へのメンバーのログインアクセスに影響を与える可能性があります。
グループ同期は、どの SCIM グループが存在し、誰がそれに属しているかについての組織の記録を更新します。グループメンバーシップは、カスタムロールを持つメンバーが使用できる機能とグループの支出制限を決定します。
手動同期にかかる時間
手動同期は WorkOS をスキャンして、メンバーとグループの完全なリストを取得し、最新のベースラインを確立します。組織内の 100 メンバーあたり約 1 分かかります。つまり、1,000 メンバーの組織は完全に再同期するのに約 10 分かかります。
同期ステータスの確認
組織のメンバーシップとグループが最新であるかどうかを確認するには、2 つのオプションがあります。
メンバーリストをエクスポートします。組織設定 > メンバーに移動し、「CSV をエクスポート」をクリックして、メンバーシップの現在のビューをダウンロードします。
WorkOS 統合のレコードを表示します。組織設定 > 組織とアクセスに移動し、「SCIM を管理」をクリックして、WorkOS が組織に対して現在保持しているものを確認します。
再同期時に注意すべきリスク
手動再同期をトリガーする前に、以下の点に注意してください。
プロビジョニングモードを SCIM に変更すると、IdP ディレクトリにないメンバーが削除されます。プロビジョニングモードを変更する前に、すべての既存メンバーが IdP ディレクトリにいることを確認してください。
メンバーのメールアドレスを更新すると、新しいメンバーレコードが作成されます。古いメールアドレスを持つメンバーは削除され、新しいメールアドレスを持つ新しいメンバーが作成されます。
再同期は子組織にカスケードします。同じ親組織の下に SCIM プロビジョニングを使用する複数の組織がある場合、1 つを再同期すると、他の組織でも再同期がトリガーされます。これには、同じ親を共有するサンドボックス組織も含まれます。
不完全なグループマッピングはメンバーを組織から削除します。SCIM のグループマッピングを有効にする場合は、すべてのグループの割り当てを完了してから保存してください。ロールグループマッピングに含まれていないメンバーは組織から削除されます。シートティアマッピングを有効にする場合、シートティアグループマッピングに含まれていないメンバーも削除されます。