Entra IDとのSAML認証(SSO)とSCIMプロビジョニング(ユーザー自動同期)を両方使う場合の設定の関係と運用上の注意点を説明します。この記事ではIdPの例としてEntra IDを例にしています。
SAMLとSCIMの役割の違い
- SAML/SSO:ログイン時の認証。Entra IDのアカウントでセキュリオにサインインできるようにする仕組みです
- SCIM:ユーザー情報の自動同期。Entra IDのユーザーをセキュリオに自動で追加・更新・削除する仕組みです
これらは独立した機能であり、別々に設定が必要です。
組み合わせパターン
- SAMLのみ:SSOでログインできますが、ユーザーはセキュリオに手動で登録する必要があります
- SCIMのみ:ユーザーは自動同期されますが、ログインはID/パスワードになります
- SAML + SCIM(推奨):ユーザーの自動同期とSSOログインを両立できます。運用負荷が最も低くなります
併用時の設定手順
- Entra管理センターでエンタープライズアプリを2つ作成します(SAMLアプリ・SCIMアプリを別々に作成するか、1つのアプリで両方設定できる場合はまとめて設定します)
- SAMLの設定を先に完了させ、SSOが正常に動作することを確認します
- SCIMの設定を行い、ユーザー同期が正常に動作することを確認します
運用上の注意事項
- SCIMでユーザーを同期する前にSAMLのSSO強制を有効にすると、まだセキュリオに登録されていないユーザーがログインできなくなります。SCIMの同期完了後にSSO強制を有効にしてください
- SCIMで同期するユーザーの
userName(メールアドレス)がSAMLでの認証に使用するメールアドレスと一致していることを確認してください