SSOが有効になっている Enterprise アカウントは、Vimeo上でSCIMを使用して、チームメンバーのアカウントとユーザーグループを作成および管理することができます。 SCIM(System for Cross-domain Identity Management)は、IDドメインまたはITシステム間のユーザーID情報の交換を自動化するための標準です。
SCIMを初めて使用する場合は、SCIMがどのように役立つか、またIdP(Okta、OneLogin、GSuiteなどのIDプロバイダー)がVimeoアカウントとどのように作用するかについて、次の例でいくつかご紹介します:
-
プッシュユーザー:社員が組織に参加すると、それぞれのグループメンバーシップ情報とパーソナライズ化されたコンテンツで、Vimeoアカウントが自動的に作成されます。
-
ユーザーの解除:社員が組織を離れると、そのアカウントは自動的に解除され、Vimeoアカウントにアクセスできなくなり、その籍を失います。
-
ユーザー属性の更新:社員が名前またはEメールアドレスを変更すると、それぞれのVimeoアカウントはすぐに更新されます。また、社員を別の部署に配属し、グループメンバーシップを変更すると、そのグループメンバーシップはVimeoアカウントですぐに更新され、Vimeoでアクセスできるコンテンツが更新されます。
-
プッシュグループ: Oktaで作成された新しいグループはVimeoでも作成されます。
-
ユーザーのインポート:Vimeoで作成された新しいユーザーはアプリのインポートタブでダウンロードして、既存のOktaユーザーと照合するために新しいAppUserオブジェクトに変換できます。
-
グループのインポート:Vimeoで作成された新しいグループは、アプリのインポートタブでダウンロードして、既存のOktaグループと照合するために新しいAppUserオブジェクトに変換できます。
-
一般的に、多くのアカウントを管理する必要がある場合は、SCIMが最も実用的な方法です。
このガイドでは、組織のVimeoとのSCIM接続を設定する方法についてご説明します。例として、VimeoではOktaをIdP(Identity Provider)として使用しますが、他のプロバイダー(OneLogin、GSuite、Azureなど)での手順も同様である必要があります。
Vimeo Enterpriseに既にご契約いただいているお客様で、SCIMをお持ちでない場合は、アカウントマネージャーに詳細をお問い合わせください。まだVimeo Enterpriseをご契約いただいていない方でSCIMにご興味をお持ちの場合は、お問い合わせください。
記事の内容:
前提条件
VimeoアカウントでSCIMを使用するには:
- お使いのVimeoアカウントが、Enterpriseメンバーシップであり、SSOが有効になっている必要があります。
- SSOは、IdP側で構成され、有効にする必要があります。
- IdPはSCIMバージョン 2 に対応している必要があります。 VimeoはSCIMバージョン 1 には対応しておりません。
VimeoからAPIトークンを取得する
開始するには、VimeoからAPIトークンを取得する必要があります。これを実行するためには、所有者アカウントにログインする必要があり、チームメンバー はAPIにアクセスできません。
- https://developer.vimeo.comを開きます
- 始めるまたは新しいアプリを選択します。
-
フォームに記入し、アプリを作成を選択します。
- 注:他のユーザーがアプリにアクセスできるようにするかどうかの質問には、いいえを選択します。
- アクセストークンの生成セクションまで下にスクロールします。
- 認証済み(自分)を選択します。
- プライベート、SCIMスコープの順に選択します
-
生成をクリックします。
-
メモを取るアプリケーションなど、新しく生成されたトークンをどこかにコピーして保存します。このステップは必ず行ってください。後で必要になります。
IdPでのSCIMの構成
注:ここでは例としてOktaを示しますが、他のプロバイダーの手順も同様に行ってください。
- Vimeoに使用されている既存のSAMLアプリケーションに移動します。
- 一般タブで、アプリ設定を編集します。
-
プロビジョニングをなしからSCIMに変更します。
-
これで、アプリケーションにプロビジョニング領域またはタブが表示されます。
- プロビジョニングタブに進み、続いて設定、次いで統合に進みます。編集を選択してください。
- 次のURL形式を使用してSCIM コネクタベース URLを入力します:https://api.vimeo.com/scim/v2/12345678、 12345678は、Vimeoのチームの所有者のユーザーIDになります; このIDはVimeoのアカウント設定ページの左上に表示されています。
- 「ユーザーの一意識別子」項目に、userNameと入力します
- ここにリストされている対応しているすべてのプロビジョニングアクションを有効にします。
- 「認証モード」メニューで、HTTPヘッダーを選択します。
- 「認証」には、Vimeoから生成されたAPIトークンを貼り付けます。
- 保存をクリックします。
- 次に、プロビジョニングタブ -> 設定 -> アプリへの順に進みます。
-
「ユーザーの作成」、「ユーザー属性の更新」、「ユーザーの非アクティブ化」を有効にします。
- 注:Azure などの別の IdP を使用している場合は、以下の対応している属性欄をご参照ください。
-
保存を選択します。
IdPからVimeoへのユーザーのプロビジョニング
Okta でプロビジョニングを開始するための最初のステップは、ユーザーを SAML アプリケーションに割り当てることです。 SSO と SCIM をセットアップするために SAML アプリケーションを作成したばかりの場合は、ユーザーを割り当てることができ、ユーザーは自動的にプロビジョニングされます。
ユーザーが割り当てられた SAML アプリケーションを既にお持ちの場合は、プロビジョニングが有効になると、そのプロビジョニングはされません。Okta には2つのオプションがあります:
- ユーザーの割り当てを解除したり、再び割り当てることができます。または
- Okta サポートに連絡して、「同期されていないユーザーのプロビジョニング」と呼ばれる機能を有効にするように依頼できます。この機能は、プロビジョニングの有効化後に、プロビジョニングされていない各ユーザーの横にある「今すぐプロビジョニングする」ボタンを追加します。
プロビジョニングが開始されると、Vimeoのチームアカウントにチームメンバーが表示されるようになります。
必要に応じて、IdPからVimeoにグループに対してプッシュ通知することもできるようになりました。
トラブルシューティング:失敗したSCIM試行の処理
次のように、SCIMを介してユーザーを移行できない場合があります:
- 同じメールアドレスを持つユーザーが既にVimeoに存在し、このEnterpriseチームに属していない
- アカウントの定員に達している
- 接続エラー
このような場合は、チーム設定ページに移動して、エラーメッセージが表示されている、移行できなかったリストをダウンロードすることができます。
ほとんどの場合、それらの対応にはアカウントマネージャーに問い合わせることが最善の策です。VimeoユーザーをEnterpriseアカウントに移行することで処理できるものもあれば、追加の定員枠を購入することで処理できるものもあります。
制限
IdPでユーザーの情報を変更するには、ユーザー名とEメールを同じにしてください。
サポート属性(マッピング)
すべての SCIM の使用可能なユーザー属性に対応しているわけではありません。たとえば、Azureのデフォルトの属性はOktaの属性よりも大きいため、減らす必要があります。
現在Vimeoで使用できる対応のユーザー属性:
- schemas(読み取り専用、SCIM 仕様で必要)
- id(読み取り専用、SCIM 仕様で必要)
- userName(変更可能、電子メールには同じ値が必要)
- Name(変更可能)
- name.formatted(givenName + familyNameと同じ)
- name.givenName
- name.familyName
- displayName(givenName + familyNameと同じ)
- Active(変更可能)
- emails(type=work および primary=true のみ)(変更可能)
- profileUrl(読み取り専用)
- locale(変更可能)
- groups(読み取り専用、/Groupsエンドポイントから変更可能)
- meta(読み取り専用)