1. Home
  2. Next-Gen WAF
  3. アカウント情報

ユーザー管理 (IdP) の自動化

重要 :このガイドは、Next-Gen WAF コンソールにアクセスできる Next-Gen WAF のお客様のみが対象です。Fastly コンソールでアカウントを管理している場合は、代替ユーザー管理自動化の手順をご確認ください。

このガイドでは、Okta が ID プロバイダー (IdP) の役割を果たす場合に、アカウントユーザーの管理を自動化する方法について説明します。

Okta のような IdP は、デジタル ID を保存・管理することにより、ユーザーの ID 管理を一元化します。以下のサービスを含む:

  • ユーザー名、役割、認証情報などのユーザー属性の維持

  • パスワード、多要素認証 (MFA)、シングルサインオン (SSO) などの認証方法による本人確認

  • 役割と権限に基づくアクセスポリシーの適用

Okta をアカウントと統合することで、ユーザーのライフサイクル管理を自動化できます。これにより IdP は、アカウントの作成、更新、無効化を処理すると同時に、セキュリティポリシーとコンプライアンス要件をサポートします。Okta を介したユーザーのプロビジョニングにより、アクセスと権限のレベルがサイト (ワークスペースとも呼ばれる) と常に同期され、IdP で行われた変更が自動的に反映されます。

注 : Oktaは、業界標準仕様である System for Cross-domain Identity Management (SCIM) プロトコルを使用し、統合アプリケーションおよびディレクトリ間でのユーザーアカウントのプロビジョニングと同期を自動化します。SCIM の詳細については、Okta の開発者ドキュメントをご覧ください。

制約と考慮事項

Okta を IdP として使用する際は、以下の点に留意してください。

  • Okta によってプロビジョニングされたユーザーは、Okta 内部でのみ変更または削除できます。

  • Next-Gen WAF は、小文字のアルファベットのみを含むメールアドレスのみを受け付けます。大文字を含むメールアドレスは誤動作を引き起こします。

  • 既存のユーザーが Okta 内でプロビジョニングされているユーザーと同じメールアドレスを持っている場合、アカウントは統合されます。ユーザーは設定時に再プロビジョニングする必要はありませんが、新しいグループの割り当ては既存の役割と権限をオーバーライドします。

前提条件

IdP を設定する前に、以下の前提条件を完了してください。

IdP の設定と有効化

Okta を通じて自動ユーザー管理を設定するには、以下の手順に従ってください。

設定情報を入力する

Signal Sciences Okta アプリケーションの [Provisioning (プロビジョニング)] タブで、以下の情報を入力してプロビジョニングを有効にします。

  • SCIM コネクタのベース URL : https://dashboard.signalsciences.net/api/v0/corps/<corpname>/scim/v2 を入力し、<corpname> を貴社の「name (名称)」に置き換えます。

    • あなたの <corpname> は、Next-Gen WAF コンソールのアドレス (https://dashboard.signalsciences.net/corps/<corpname>/overview など) に存在します。

    • あなたの<corpname>List Corps APIエンドポイントからも取得可能です。

  • ユーザー固有の識別子フィールド : メールアドレスを選択します。

  • サポートされるプロビジョニングアクション : [新規ユーザーのプッシュ (Push New Users)][Push Profile Updates (プロファイル更新のプッシュ)] を選択します。

  • 認証モード : HTTP ヘッダーを選択してください。

  • Authorization: 先に生成した API アクセストークンからベアラートークンを生成します。ベアラートークンは、ユーザーに関連付けられたメールアドレス、コロン、そして生成した API アクセストークンで構成される文字列を base64 エンコードして作成されます。

    • bash で Bearer トークンを作成するコマンドの例。

      $ echo -n "user@example.com:c9e4bbc5-a5c4-19d3-b31f-691d8b2139fe" | base64

    • JavaScript で Bearer トークンを作成するコマンドの例。

      btoa("<signal_sciences_email>:<signal_sciences_access_token>") = "YW5keUBleGFtcGxlY29ycC5jb206ZXhhbXBsZXRva2Vu"

テスト設定

[Test Connector Configuration (コネクタ設定のテスト)] をクリックして、接続が正しく設定されたことを確認します。すべてが正しく設定されていれば、「Signal Sciences was successfully verified! (正常に検証されました)」と表示されます。

[Save (保存)] をクリックしてこの設定を保存して先に進みます。

プロビジョニング機能を有効化

設定が保存されたら、[Provisioning to App (アプリへのプロビジョニング)] の以下の項目の [Enable (有効)] を選択します。

  • ユーザーの作成

  • ユーザー属性の更新

  • ユーザーの非アクティブ化

[Save (保存)] をクリックしてこれらの設定を保存し、次に進みます。

プロビジョニングを有効にした後、アプリケーションにマッピングされていない属性が存在するというメッセージが表示される場合があります。これによってプロビジョニングが妨げられることはありません。ただし、Next-Gen WAF 属性をベースとする Okta ユーザープロファイルにマッピングしたい場合は、次の属性をマッピングすることで対応できます。

  • userType は、ユーザーの role を表す文字列属性にマッピングされるべきです。この値は owneradminuser、もしくは observer など、有効な role である必要があります。

  • entitlements は、ユーザーの sites を表す文字列配列属性にマッピングされるべきです。これは、ユーザーがアクセスできるサイト (ワークスペース) の短縮名を表す文字列配列 (www.example.com など) に設定する必要があります。

アプリケーションにグループまたはユーザーを割り当てる

以下の手順はグループの割り当てに適用されますが、ユーザーもほぼ同じプロセスに従います。

  1. Signal Sciences Okta アプリケーションで [Assignments (割り当て)] をクリックします。

  2. [Assign (割り当て)] メニューから [Assign to Groups (グループに割り当てる)] を選択します。

  3. プロビジョニングするユーザーのグループを選択します。追加の属性を要求するウィンドウが表示されます。

  4. 割り当てられたグループの [Role (役割)] を選択します。[owner (所有者)][admin (管理者)][user (ユーザー)][observer (観察者)] のいずれかを選択します。

  5. サイトを追加するには [Add Another (別のサイトを追加)] をクリックします。これは [Site settings (サイト設定)] に表示されるサイトの「短縮名」です。

  6. [保存して戻る] をクリックします。

IdP によるユーザー管理

ユーザー管理には、属性の更新とユーザー削除の両方が含まれます。

ユーザーの更新

グループおよびユーザー属性の更新は同期されます。これには以下が含まれます。

  • ユーザーの実名

  • ユーザーに割り当てられた役割

  • ユーザーに割り当てられたサイト (ワークスペース)

Next-Gen WAF では、メールアドレスがユーザーの主要な識別子であるため、メールアドレスの更新はサポートされていません。

ユーザーの削除

Next-Gen WAF ユーザーは、プロビジョニングを通じて以下の方法で削除されます。

  • Next-Gen WAF アプリケーションに割り当てられたグループからユーザーを削除する

  • ユーザーが直接割り当てられている場合は、Next-Gen WAF アプリケーションからユーザーを直接削除する

  • Okta でユーザーを無効化する

ユーザーが再びアクティブ化されるか、Signal Sciences Okta アプリケーションに再割り当てされた場合、ユーザーは再作成されます。

トラブルシューティング

SCIM プロビジョニングは2020.年12月に Okta アプリケーションに追加されました。2020年12月以前に Okta で作成された Signal Sciences アプリケーションをお持ちの場合、SCIM プロビジョニングを利用するには Okta で新しい Signal Sciences アプリケーションを作成する必要があります。

Okta との統合に関するご質問や問題が生じた場合は、サポートチームにお問い合わせください。

関連コンテンツ

Fastly
© Fastly 2026