OktaでSCIMプロビジョニングを設定する

このガイドでは、すでにOktaとUdemy Businessをご利用中のお客様が、クロスドメインID管理（SCIM 2.0）を使用してUdemy Businessユーザーとグループの自動プロビジョニング、デプロビジョニング、プロフィール更新、グループ管理の設定を行う方法について説明します。

すでにSCIMプロビジョニングを設定済みで、新しいUdemy Businessアプリを使用したい場合は、既存の統合をBearerトークン認証に移行する必要があります。

• 手順については、既存の統合をBearerトークンに移行して、Oktaで新しいUdemy Businessアプリを利用できるようにするを参照してください。

メモ:

• OktaのUdemy BusinessのSSOがすでに有効になっている場合は、SSOを再設定する必要はありません。
• UdemyサポートチームがSSOを手動で設定している場合は、Oktaアカウントに新しいUdemy Businessアプリを追加してください。Udemy Businessアプリは、Applications（アプリケーション）でUdemy Businessを検索すると見つかります。Oktaにおいてこのアプリは新バージョンとなりますので、既存のアプリをご利用のお客様はSCIMプロビジョニングを有効化する前にシングルサインオン（SSO）の再設定が必要な場合があります（詳しい手順は以下を参照してください）。
• Oktaでプロビジョニングされたユーザーは、Udemy Businessアプリに初回ログインするまで、アクティブライセンスは消費されません。
• SCIMで管理されるユーザーとグループは、Oktaでのみ変更できます。
• SCIMが有効になっている場合、UdemyはSAML経由の属性マッピングにSCIMプロトコルを使用します。グループはSCIMユーザー属性ではないため、以前にSAMLのみの構成の一部として属性をマップしていた場合、SAML 経由で渡されません。
• Udemy BusinessのSCIM APIトークンの有効期間はおよそ2年間です。管理者には以下を知らせる通知が送信されます:
  • トークンの有効期限の30日前
  • トークンの有効期限後

目次

• SCIMプロビジョニングの機能
• 始める前に
• 設定手順
• ユーザーをライセンスプールに割り当てる
• 既存の統合をBearerトークンに移行して、Oktaで新しいUdemy Businessアプリを利用できるようにする

SCIMプロビジョニングの機能

対応しているSCIMプロビジョニング機能は以下の通りです:

• Oktaからユーザーをプロビジョニングする
  • OktaでUdemy Businessアプリを割り当てられたユーザーは、Udemy Businessでプロビジョニングされます。
  • メモ: OktaからSCIMプロビジョニングされたユーザーは、自動生成の招待メールが届きません。
• プロフィール更新のプッシュ
  • OktaからUdemy Businessに登録しているユーザーのプロフィールを更新すると、Udemy Businessにプッシュ（送信）されます。
• ユーザーの非アクティブ化のプッシュ
  • Oktaでユーザーを非アクティブ化するか、アプリケーションへのアクセスを無効にすると、Udemy Businessのユーザーも非アクティブ化され、すべてのグループから削除されます。
  • メモ: 非アクティブ化されたユーザーは、レポート目的または将来の再アクティブ化のために学習データを保持します。  SCIMで管理されている非アクティブ化されたユーザーを完全に削除するには、まずそのユーザーのSCIM接続を切断する必要があります。これについては、Udemy Businessサポートがお手伝いいたします。
• ユーザーの再アクティブ化
  • Oktaを通じてそのユーザーにアプリを再割り当てすることで、ユーザーをUdemy Businessで再アクティブ化できます。
  • メモ: 再アクティブ化されたユーザーには、再アクティブ化されたことを伝える自動生成メールがUdemyから送信されます。
• グループプッシュ
  • グループとそのメンバーの情報はUdemy Businessにプッシュされます。
  • メモ: 管理できるのはOktaからプッシュされたグループに限られます。Udemy Businessで作成されたグループの情報は送信されません。
• ユーザーとグループをインポート
  • Oktaで新しいUdemy Businessアプリに切り替えると、既存の統合から新しい統合にユーザーとグループをインポートできます。

SCIM管理されているユーザーには、名前とメールの横に灰色のSCIMフラグが表示されます。  SCIMがプロビジョニング済みのステータスを持つユーザーは、初めてログインするまでアクティブなライセンスを消費しません。

始める前に

OktaのSSOを有効にしていない場合、またはチームによる手動設定でSSOをセットアップした場合は、まずこちらでOkta SSO設定手順を完了してください。

• 新しいSSOとSCIMの設定が完了するまでは、OktaダッシュボードにあるUdemy Businessのタイルを隠しておくことで、SSOのサービス停止を避けることができます。
• Application Visibility（アプリケーションの可視性）の横のDo not display application icon to users（アプリケーションのアイコンをユーザーに表示しない）をクリックします。

設定手順

1. Udemy Businessアプリで全般タブを選択し、以下のフィールドに入力します。

• サブドメイン: あなたのUdemy Businessのドメイン名
• ドメイン: udemy.com
• Audience URI（SP Entity ID）: PingConnect

2.  Provisioning（プロビジョニング）タブをクリックし、Configure API integration（API統合の設定） をクリックします。

3.  Enable API Integration（API統合を有効にする）を選択してAPIトークンを追加します。

Udemy BusinessアカウントでManage（管理） > Settings（設定） > Provisioning (SCIM)（プロビジョニング（SCIM））に移動すると、APIトークンを生成または表示できます。 

 4. Test API Credentials（API認証情報のテスト）をクリックすると、SSO統合が完了したことを示すメッセージが表示されます。メッセージが表示されない場合は、エラーメッセージを添えてUdemy Businessサポートチームまでご連絡ください。

5. Save（保存）をクリックすると、Provisioning（プロビジョニング）設定ページにリダイレクトされます。

6.Settings（設定） > To App（アプリへ）でEdit（編集）をクリックして、各機能を有効化します。 

すべての機能を使用する場合は、Create Users（ユーザーの作成）、Update User Attributes（ユーザー属性の更新）、Deactivate Users（ユーザーの非アクティブ化）を有効にすることをお勧めします。Save（保存）をクリックします。

7.（任意）Profile attributes（プロフィール属性）: Oktaアカウントで、Directory（ディレクトリ）>  Profile Editor（プロファイルエディタ）→ アプリケーションの名前に移動します。 

8.Profile Editor（プロファイルエディタ）ページで、Add Attribute（属性を追加）をクリックします。 

9.Add Attribute（属性を追加）ページで、次の属性を以下のフィールドに入力します。 

licenseTypes 

licensePoolName

externalId

employeeNumber

タイトル

10.Add Attribute（属性を追加）またはSave and Add Another（保存して別の属性を追加）のいずれかをクリックします。

属性を追加すると、以下のような内容がプロフィールに追加されているのが確認できます。

ユーザーをライセンスプールに割り当てる

ユーザーをライセンスプールに割り当てるには:

1. Okta管理ページの左側で、Application（アプリケーション） → Application（アプリケーション）に移動します。

2. 対象のアプリケーションを選択します。

3.Assignments（割り当て）タブに移動します。

4.Assign（割り当て）をクリックし、Assign to People（ユーザーに割り当て）またはAssign to Groups（グループに割り当て）のいずれかを選択します。

5 そのユーザーまたはグループの属性を入力します。

ユーザー属性:

グループ属性:

6.Save and Go Back（保存して戻る）をクリックします。

これで、ライセンスプール名の属性を持つユーザーまたはグループが追加され、指定したライセンスプールにユーザーが割り当てられます。

7.Assignments（割り当て）タブに移動して、特定のユーザーまたはグループ全体にUdemy Businessを割り当てます。 

割り当てられたユーザーは、追加後に自動でプロビジョニングされます。プロフィールが変更されると自動で修正され、割り当てから削除されると自動で非アクティブ化されます。

8.Push Groups（グループをプッシュ）タブに移動して、 グループとメンバーの情報をUdemy Businessに送信します。

9.+ Push Groups（+ グループをプッシュ）をクリックして、Udemy Businessにプッシュするグループを選択します。

個々のグループを選択することも、自動ルールを作成することもできます。

10. グループの検索基準を選択し、Udemy Businessに送信するグループに関する必要情報を入力します。

11. グループを選択した後、Push group memberships immediately（グループメンバーの情報を同時にプッシュする）を選択して、選択したグループの情報だけでなく所属メンバーの情報も送信されるように設定し、Save（保存）をクリックします。

12. Udemy Businessに送信するすべてのグループについて以上の手順を繰り返します。

メモ: Udemy Businessでは、セットアップ後にSCIM管理のユーザーまたはグループを変更することはできません。

既存の統合をBearerトークンに移行して、Oktaで新しいUdemy Businessアプリを利用できるようにする

すでにOktaでSCIMプロビジョニングを設定済みで、OktaでUdemy Businessアプリケーションを使用したい場合は、まずBearerトークン認証に移行する必要があります。統合を移行するには、以下の手順に従います。

ステップ1: Udemy Businessでトークンを生成する 

1. Udemy Business管理者アカウントで、Manage（管理）> Settings（設定）> Provisioning (SCIM)（プロビジョニング（SCIM））に移動します。

すでにユーザー名とパスワードに基づくOkta統合がある場合は、ダッシュボードにその認証情報が表示されます。

2. Generate token（トークンを生成）をクリックすると、SCIM統合用のBearerトークンを生成するかどうかを確認するモーダルが表示されます。

• 確認すると、以前の認証情報は、SCIMプロビジョニング用には表示されなくなりますが、他の既存の統合（例: 学習管理システム、学習アクティビティ用の公開APIなど）では引き続き有効です。 

結果 

生成が完了すると成功メッセージが表示され、BearerトークンがProvisioning SCIM（プロビジョニングSCIM）ページに表示されます。Copy（コピー）をクリックすると、Okta設定用にBearerトークンをコピーできます。 

ページを更新すると成功メッセージは消え、ドロップダウンオプションがOkta（レガシー）からOktaに変更されます。

ステップ2: Oktaで統合を更新する

移行を完了するには、Oktaで統合を更新する必要があります。 

1. Okta管理者アカウントで、Applications（アプリケーション）> Application（アプリケーション）> Browse App Catalog（アプリカタログを表示）に移動し、Udemy Businessを検索します。

2.  統合を追加して、Subdomain（サブドメイン）、Domain（ドメイン）、Audience URI（SP Entity ID）などの詳細を入力します。 

3. Provisioning（プロビジョニング）タブで、Enable API integration（API統合を有効にする）をクリックします。 

4. API Token（APIトークン）の入力を求められたら、Udemy BusinessからコピーしたBearerトークンを貼り付けます。

5. Test API Credentials（API認証情報をテスト）をクリックして接続をテストします。 

テストが成功したら、Save（保存）をクリックして完了できます。

6. Provisioning（プロビジョニング）タブで、Settings（設定）> To App（アプリへ）に移動し、すべての種類のプロビジョニングが有効になっていることを確認します。 

• Create Users（ユーザーを作成）
• Update User Attributes（ユーザー属性を更新）
• Deactivate Users（ユーザーを非アクティブ化） 

メモ: このステップを完了すると、新しいUdemy Businessアプリケーションで行ったすべての変更がUdemy Businessのプロビジョニングに反映されます。

結果

新しいUdemy Businessアプリケーションの基本的な統合が完了しました。 

ステップ3: 古いUdemy Businessアプリケーションを管理する 

新しい統合を作成した後、次の2つのオプションから選択する必要があります。

オプション1: 古い統合を無効にする

• メリット: 情報源を1つにまとめられるため、新しい統合で行った変更が確実に反映されます。
• デメリット: ユーザーがUdemy BusinessでSSOを使ってログインできなくなります。

オプション2: 古い統合をそのまま維持する 

• メリット: ユーザーがUdemy Businessを利用する際にダウンタイムが発生しません。
• デメリット: 誰かが古い統合に変更を加えると、その変更が新しい統合を上書きしてしまいます。移行を慎重に管理し、他の管理者に古い統合でユーザーやグループに変更を加えないよう知らせる必要があります。

ステップ4: 新しい統合にユーザーをインポートする 

新しい統合にユーザーをインポートする方法は2つあります。 

• 自動インポート
• 確認して自分でインポート 

インポートの所要時間はアプリケーション内のユーザー数によって異なり、数秒から数分かかります。 

オプション1: ユーザーを自動インポートする

ユーザーを自動インポートするには: 

1. 新しいUdemy BusinessアプリケーションのProvisioning（プロビジョニング）タブに移動します。
2. 左側で、To Okta（Oktaへ）を選択します。
3. User Creation & Matching（ユーザーの作成と一致）設定の下に、自動的にインポートして割り当てを確認するための次のオプションが表示されます。
   • インポートされたユーザーは以下の場合にOktaユーザーと完全に一致:
     • Email matches（メールの一致）を選択する
   • 部分一致を許可する:
     • Partial match on first and last name（名と姓の部分一致）を選択する
   • 一致したユーザーを確認する:
     • Auto-confirm exact matches（完全一致を自動確認）を選択する
     • Auto-confirm partial matches（部分一致を自動確認）を選択する
   • Confirm new users（新しいユーザーを確認）設定で:
     • Auto-confirm new users（新しいユーザーを自動確認）を選択する

4. Save（保存）をクリックします。

5 Udemy Businessアプリで、Import（インポート）タブに移動します。

6.Import Now（今すぐインポート）をクリックします。

オプション2: 確認して自分でインポートする 

ユーザーを自分でインポートするには:

1. Udemy Businessアプリで、Import（インポート）タブに移動します。
2. Import Now（今すぐインポート）をクリックします。

ステップ5: 新しい統合にグループをインポートする

メモ: グループを追加する前に、すべてのユーザーを新しい統合に追加する必要があります。

新しい統合にグループをインポートするには:

1. 新しいUdemy Businessアプリで、Push Groups（グループをプッシュ）タブに移動します。 

2. Refresh App Groups（アプリグループを更新）をクリックします。

3. Push Groups（グループをプッシュ）> Find groups by name（名前でグループを検索）を選択します。

 4. 左側で、By name（名前で）をクリックし、Link Group（グループをリンク）オプションを使用します。

5. Save（保存）またはSave & Add Another（保存して別のグループを追加）をクリックし、残りのグループについても同じ手順を繰り返します。