SAP IAS のユーザー プロビジョニングの設定

管理者は、シングル サインオン(SSO)の設定後、自動ユーザー プロビジョニングを設定します。これにより、G Suite でユーザー ID を承認、作成、修正、削除すると変更内容が SAP IAS に反映されるようになります。

SAP IAS アプリケーションのユーザー プロビジョニングの設定
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[アプリ] 次に [SAML アプリ] にアクセスします。

    [アプリ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. [SAP IAS] アプリケーションをクリックします。
  4. [ユーザー プロビジョニング] を選択します。
  5. [ユーザー プロビジョニング] で [ユーザー プロビジョニングを設定] をクリックします。
    SAP アカウントのシステム ユーザーのユーザー名とパスワードの入力を求められます。
  6. 新しいタブで、次の手順に沿って SAP のシステム ユーザーを作成します。

    1. https://[テナント ID].accounts.ondemand.com/admin/ から SAP IAS 管理コンソールにログインします。

    2. 左側のパネルで [Users & Authorizations] をクリックします。

    3. プルダウン メニューで [Administrators] をクリックします。

    4. 中央のパネルの下部に管理者のリストが表示されたら、[+ Add] をクリックします。

    5. 管理者の種類として [System] を選択します。

    6. システム管理者の名前として「Google」と入力します。

    7. [Configure Authorizations] で [Manage Users and Manage Groups] が [On] に設定されていることを確認します。

    8. [Save] をクリックします。

      システム管理者アカウントが作成されました。次に、このアカウントのパスワードを設定する必要があります。

    9. [System administrator details] ページで、新しく作成した Google システム管理者の [Set Password] をクリックします。

    10. このシステム管理者アカウントに設定する安全性が高くランダムなパスワードを入力し、同じものをもう一度入力します。既存のパスワードは使用しないでください。安全なパスワードの使用については、こちらからガイドラインをご覧いただけます。[User ID] 欄は後で自動的に入力されるので無効になっています。

    11. ページの右下にある [Save] をクリックします。
      [System administrator details] ページにリダイレクトされます。

    12. [Set Password] をクリックします。

    13. 新しく生成されたユーザー ID をコピーします。

  7. 前の手順でコピーしたユーザー ID を、ユーザー プロビジョニング ウィザードの [承認] 手順の [ユーザー名] 欄に入力します。

  8. SAP システムの Google システム管理者アカウントのパスワードを入力します。

  9. [次へ] をクリックします。

  10. SAP アカウントの SCIM URL エンドポイントを入力します。
    この欄には値が事前に入力されていますが、YOUR-TENANT-ID の部分を実際のテナント ID に置き換えてください。これは、SAP IAS 管理コンソールの URL
    (https://[テナント ID].accounts.ondemand.com/admin)に含まれているのと同じテナント ID です。
  11. [属性のマッピング] ダイアログ ボックスで次の操作を行います。
    1. 選択した Cloud Directory 属性の横にある下矢印アイコン 下矢印 をクリックして、対応する SAP IAS の属性にマッピングします。マッピングが必要な属性には(*)が表示されます。
    2. [次へ] をクリックします。
  12. (省略可)定義したグループのメンバーのみをプロビジョニングの対象にするには、[プロビジョニングの対象を設定] ダイアログ ボックスでグループを追加します。
    1. アンダースコアをクリックして、グループ名を入力します。
      入力を開始すると、使用可能なグループのリストが表示されます。
    2. 1 つ選択して追加すると別のアンダースコアが開き、他のグループを追加できます。必要に応じてさらにグループを追加します。
    3. 追加したグループを削除するには、グループの横にある編集アイコン 編集 をクリックします。
  13. 完了したら [完了] をクリックします。
  14. [プロビジョニングの概要] ダイアログ ボックスの情報を確認し、[OK] をクリックします。
  15. [プロビジョニングを有効にする] をクリックします。
    : [プロビジョニングの対象を設定] ダイアログ ボックスを使用してグループを追加した場合は、対象を選択する必要があります。対象を選択しないと、[プロビジョニングを有効にする] ボタンはグレー表示されます。プロビジョニングを有効にする前に、アプリを [オン(すべてのユーザー)] または [一部の組織に対してオンにする] に設定してページを更新してください。アプリが [オフ] に設定されている場合、この選択肢はグレー表示されます。
  16. 確認のダイアログ ボックスで [有効化] をクリックします。
ユーザー プロビジョニングの表示

プロビジョニングを有効にすると、Google で使用状況に関する情報の収集が開始され、[ユーザー プロビジョニング] の横に利用状況を示す欄が表示されます。プロビジョニングが無効になっている場合は、イベント名の横に数字が表示されません。

次のイベント名ごとに、過去 30 日間の使用状況を確認できます。

  • 作成されたユーザー
  • 停止中のユーザー
  • 完全に削除したユーザー
  • ユーザーエラー

詳しくは、ユーザー プロビジョニングの管理をご覧ください。

プロビジョニングの対象の編集

プロビジョニングの対象を、自分で定義したグループのメンバーに制限することができます。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[アプリ] 次に [SAML アプリ] にアクセスします。

    [アプリ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. [SAP IAS] アプリケーションをクリックします。
  4. [ユーザー プロビジョニング] を選択します。
  5. [ユーザー プロビジョニング] で [プロビジョニングの対象を編集] をクリックします。
  6. 定義したグループのメンバーのみをプロビジョニングの対象にするには、[プロビジョニングの対象を設定] ダイアログ ボックスでグループを追加します。
    1. アンダースコアをクリックして、グループ名を入力します。
      入力を開始すると、使用可能なグループのリストが表示されます。
    2. 1 つ選択して追加すると別のアンダースコアが開き、他のグループを追加できます。必要に応じてさらにグループを追加します。
    3. 追加したグループを削除するには、グループの横にある編集アイコン 編集 をクリックします。
  7. 完了したら [完了] をクリックします。
  8. 次に [プロビジョニングの対象を編集] をクリックしたときに、追加したグループが [プロビジョニングの対象を設定] ウィンドウに表示されます。一部の組織部門に対して SAP IAS アプリケーションを有効にしている場合、プロビジョニングの対象は、追加されたグループに所属し、かつ該当する組織部門のメンバーであるユーザーに制限されます。
ユーザー プロビジョニングの無効化

設定情報を維持したまま、SAP IAS アプリケーションのユーザー プロビジョニングを無効にするには:

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[アプリ] 次に [SAML アプリ] にアクセスします。

    [アプリ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. [SAP IAS] アプリケーションをクリックします。
  4. [ユーザー プロビジョニング] を選択します。
  5. [ユーザー プロビジョニング] で [プロビジョニングを無効化] をクリックします。
  6. [プロビジョニングを無効化] ダイアログ ボックスで [無効にする] をクリックします。
デプロビジョニングまでの期間の指定

デプロビジョニングが実施されるまでの期間を指定するには:

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[アプリ] 次に [SAML アプリ] にアクセスします。

    [アプリ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. [SAP IAS] アプリケーションをクリックします。
  4. [ユーザー プロビジョニング] を選択します。
  5. [ユーザー プロビジョニング] で [プロビジョニング解除設定を編集] をクリックします。
  6. [プロビジョニング解除の設定] ダイアログ ボックスで次のオプションから 1 つ以上選択し、デプロビジョニングが実施されるまでの期間を定義します。
    1. ユーザーのアプリがオフになった場合、指定した日数が経過すると、アカウントの停止または削除(復元不可)、もしくはその両方が行われます。

      停止中のアカウントは、復元されるまで一時的に使用できません。

      完全に削除されたアカウントは復元できません。
       
    2. ユーザーが Google で停止された場合、指定した日数が経過すると、アカウントの停止または削除(復元不可)、もしくはその両方が行われます。
    3. ユーザーが Google から削除された場合、指定した日数が経過すると、アカウントの停止または削除(復元不可)、もしくはその両方が行われます。

      デプロビジョニングが実施されるまでの期間は、24 時間以内あと 1 日あと 7 日あと 30 日のいずれかに設定できます。

      デフォルトの設定では、上述の各状態で 24 時間以内にアカウントが停止されます。ユーザーのアカウントを削除するまでの期間は、ユーザーのアカウントを停止するまでの期間よりも長く設定する必要があります。
  7. [保存] をクリックします。
ユーザー プロビジョニングの削除

SAP IAS アプリケーションのユーザープロビジョニングを無効にし、設定情報をすべて削除するには:

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[アプリ] 次に [SAML アプリ] にアクセスします。

    [アプリ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. [SAP IAS] アプリケーションをクリックします。
  4. [ユーザー プロビジョニング] を選択します。
  5. [ユーザー プロビジョニング] で [プロビジョニングを削除] をクリックします。
  6. [プロビジョニング設定の削除] ダイアログ ボックスで [削除] をクリックしてユーザー プロビジョニングを無効にし、すべての設定情報を削除します。

    SAP IAS の既存のユーザーはデプロビジョニングされません。
この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。