OneLogin との SCIM 連携の設定方法について説明します。
事前に必要なもの
- ロリポップ!固定IPアクセスの契約
- OneLogin 管理者アカウント
注意事項
⚠️ SCIM連携は1ご契約者(顧客)につき1つの認証サービス(IdP)のみ設定できます。
すでに別の認証サービス(Okta等)と連携中の場合は、既存連携解除が必要です。- OneLogin の Groups は、そのまま SCIM Groups として同期されません。SCIM Groups として同期する場合は、OneLogin の Roles を使います。
- OneLogin では、Okta の Group Push のような専用タブではなく、アプリの Rules で Roles を SCIM Groups にマッピングします。
- アプリユーザーの Groups を手動編集すると、OneLogin 側で「mapping を上書きする」旨の警告が表示されます。通常運用では手動編集せず、Rules による自動同期を使ってください。
- SCIM 連携を解除する前に、連携ユーザーに割り当てている接続先 IP / ライセンスを管理画面で解除してください。 ライセンス割り当てが残っている場合、連携解除はできません。
- SCIM 連携を解除すると、本サービス側の連携ユーザー・グループは削除されます。接続先 IP / ライセンス枠自体は削除されませんが、再連携後は OneLogin 側でユーザーを再同期し、必要に応じて Roles / Rules を再適用したうえで、管理画面で接続先 IP / ライセンスを再度割り当ててください。
- 本マニュアルの OneLogin 画面名は 2026年6月時点の検証に基づいています。OneLogin 側の詳細な操作方法や最新の画面構成は、OneLogin 公式ドキュメントも参照してください。
全体の流れ
- 管理画面で SCIM トークンを発行します。
- OneLogin 側で SCIM アプリを作成し、Base URL とトークンを設定します。
- OneLogin 側でユーザーを割り当て、必要に応じて Roles / Rules でグループ同期を設定します。
- 管理画面と OneLogin 側で同期結果を確認します。
1. 管理画面で SCIM トークンを発行する
⚠️ 発行前の確認: SCIM連携は1つのアカウントにつき1つのIDaaSのみ設定できます。
別のIDaaSと連携中の場合は、先に連携ユーザー画面で既存の連携を解除してください。- 当サービスの管理画面にログインします。
- メニューから「連携ユーザー」(
/console/scim/users)を開きます。未連携の場合、プロバイダー選択画面が表示されます。 - 「OneLogin」を選択します。
- トークン発行フォームが開きます。名称(例:
OneLogin SCIMキー)と IdP が「OneLogin」になっていることを確認し、「トークン生成」をクリックします。- 「認証とプロビジョン」(
/console/auth)の「トークンを生成」ボタンからも発行できます。その場合は IdP のプルダウンで「OneLogin」を選択し、名称を入力してください。
- 「認証とプロビジョン」(
- 表示されたトークンを、コピーアイコンでコピーします。
- SCIM トークンは発行直後に 1 回だけ表示されます。このページを離れるとトークンは再表示されません。
- トークンはパスワードと同等に扱い、秘密情報管理ツールで保管してください。
- 「連携ユーザーへ」をクリックすると、連携ユーザー一覧(
/console/scim/users)に移動します。
2. OneLogin に SCIM アプリを追加する
※ OneLogin 側の詳細な手順は、OneLogin 公式ガイド Create a SCIM Test App も参照してください。
- OneLogin Admin にログインします。
- Applications > Applications を開きます。
- 「Add App」をクリックします。
- 「SCIM Provisioner with SAML」を検索します。
-
SCIM v2 Enterprise/SCIM2 PATCH for Groupsに対応したアプリを選択します。- 検証時のアプリタイプ:
SCIM Provisioner with SAML (SCIM v2 Enterprise, SCIM2 PATCH for Groups)
- 検証時のアプリタイプ:
- Display Name を入力します(例:
ロリポップ!固定IPアクセス)。 - 「Save」でアプリ作成を完了します。
3. Configuration を設定する
- 作成した OneLogin アプリの「Configuration」タブを開きます。
-
SCIM Base URL に
https://vpn-api.lolipop.jp/scim/v2を入力します。 -
SCIM Bearer Token に、手順 1 で発行した SCIM トークンを貼り付けます。
-
Bearerという接頭辞は入力しません(トークン文字列のみ)。
-
- SCIM JSON Template は空欄のままでかまいません。
- Custom Headers は通常空欄のままでかまいません。
- 「Save」をクリックします。
- Configuration 画面で Enable をクリックし、API Status が有効になることを確認します。
- OneLogin は接続確認のため、存在しないユーザーに対する GET を送信します。本サービスが 404 を返すと、OneLogin 側では有効な SCIM endpoint と判断されます。
※ トークンを削除すると OneLogin からの同期は停止します。再連携する場合は新しいトークンを発行し、この Configuration 画面で SCIM Bearer Token を更新してください(OneLogin アプリの再作成は不要です)。
4. Provisioning を有効にする
- OneLogin アプリの「Provisioning」タブを開きます。
- 「Enable provisioning」にチェックを入れます。
- 自動同期したい場合は、以下の approval チェックを外します。
- Create user
- Delete user
- Update user
- 初回検証でリクエスト内容を確認しながら進めたい場合は、approval チェックを付けたままにします。
- チェックを付けた場合、対象ユーザーは App Users で Pending になり、管理者が Approve するまで本サービス側には反映されません。
- Pending の承認状況や同期エラーは、アプリの Users / App Users のほか、OneLogin 管理画面の Users > Provisioning でも確認できます。
- 「When users are deleted in OneLogin, or the user's app access is removed」の動作を Delete にします。
- 「When user accounts are suspended in OneLogin」の動作を Suspend にします。
- 「Save」をクリックします。
※ OneLogin でユーザーを suspended にすると、本サービス側でも該当ユーザーが無効になり、割り当て済みライセンスは停止し、設定ファイルのダウンロードもできなくなります。OneLogin で再有効化すると、停止中のライセンスは再度有効化されます。
5. Parameters を設定する
- OneLogin アプリの「Parameters」タブを開きます。
- 以下の値を確認します。
-
SCIM Username:
Username -
Department:
Department(必要な場合) -
Title:
Title(必要な場合)
-
SCIM Username:
- Groups を開き、Include in User Provisioning にチェックを入れます。
- Groups の Value は未選択のままでかまいません。
- SCIM Groups は手順 7 の Rules で、OneLogin Roles から作成・同期します。
- ここで OneLogin の Groups を選んでも、OneLogin のローカル Group がそのまま SCIM Group として同期されるわけではありません。
- 「Save」をクリックします。
6. OneLogin Roles を作成してユーザーを割り当てる
OneLogin では、SCIM Groups として同期したい単位を Roles で管理します。OneLogin の Groups はアプリ割り当てや条件指定には使えますが、SCIM Group 名として直接同期されません。
- OneLogin Admin で Users > Roles を開きます。
- 「New Role」をクリックします。
- SCIM Group として表示したい名前で Role を作成します(例:
Gulliver Admin Group)。 - Role の「Applications」で、手順 2 で作成した SCIM アプリを追加します。
- Role の「Users」で、対象ユーザーを追加します。
- 必要なグループ数だけ Role を作成します。
※ OneLogin の Role 名が、本サービス側の SCIM Group 名として表示されます。Role 名を変更した場合は、手順 7 の Rule の正規表現も必要に応じて更新し、Provisioning Mappings を再適用してください。
7. Rules で Roles を SCIM Groups として同期する
※ Actions の「For each」は必ず role を選択してください。member_of は AD/LDAP の security group membership 用であり、OneLogin ローカルの Roles / Groups では期待どおりに埋まりません。
- OneLogin アプリの「Rules」タブを開きます。
- 「Add Rule」または「New Rule」をクリックします。
- Rule 名を入力します(例:
Gulliver Admin Group)。 - Conditions で、対象ユーザーを絞り込みます。
- 例:
RolesincludeGulliver Admin Group - OneLogin Group を条件として使うこともできますが、その Group 名が SCIM Group 名になるわけではありません。
- 例:
- Actions で「Set Groups in <アプリ名>」を選択します。
- 「Map from OneLogin」を選択します。
- 「For each」で role を選択します。
- 「with value that matches」に、同期したい Role 名の正規表現を入力します。
- 1 Role だけ同期する例:
^Gulliver Admin Group$ - 複数 Role をまとめて同期する例:
^Gulliver (Admin|Sales) Group$ -
.*は対象ユーザーが持つ Role を広く同期するため、意図しない Group まで同期される可能性があります。
- 1 Role だけ同期する例:
- 「Show Affected Users」で対象ユーザーを確認します。
- 「Save」をクリックします。
- Rules を作成・変更した後は、アプリ画面の More Actions > Reapply Provisioning Mappings を実行します。
8. ユーザーをプロビジョニングする
- OneLogin アプリの「Users」または「App Users」を開きます。
- 対象ユーザーがアプリに追加されていることを確認します。
- Role にアプリを追加している場合、Role に所属するユーザーがアプリ対象になります。
- Provisioning の approval チェックを付けている場合は、Pending のユーザーを確認し、「Approve」します。
- 管理画面の「連携ユーザー」(
/console/scim/users)を開き、OneLogin から同期されたユーザーが表示されることを確認します。 - 必要に応じて、連携ユーザーに接続先 IP / ライセンスを割り当てます。
※ 本サービス側でメールアドレス指定など手動で割り当て済みの利用者と、OneLogin から同期された連携ユーザーは自動で統合されません。同じメールアドレスの利用者を OneLogin 管理に切り替える場合は、手動の割り当てを解除してから、連携ユーザーに接続先 IP / ライセンスを割り当ててください。
9. 動作確認チェックリスト
OneLogin 側の操作後、本サービス側には OneLogin から SCIM リクエストが届いたタイミングで反映されます。approval を有効にしている場合は、OneLogin 側で Approve するまで反映されません。
- OneLogin の API Status が Enabled になる
- OneLogin でユーザーをアプリに追加すると、連携ユーザーに表示される
- 複数ユーザーを追加した場合、全員が連携ユーザーに表示される
- OneLogin でユーザー属性を変更すると表示が更新される
- OneLogin でユーザーを suspended にすると無効状態になり、ライセンス利用・設定ファイルダウンロードが停止する
- OneLogin で再有効化すると利用可能状態に戻り、設定ファイルを再度ダウンロードできる
- OneLogin でユーザーを削除、またはアプリから外すと、本サービス側でも削除される
- Role を付与すると、Role 名が連携ユーザーのグループ欄に表示される
- 複数 Role を付与すると、複数グループとして表示される
- Role 名を変更し、Rule を更新して Reapply Provisioning Mappings すると、グループ名が更新される
- Role からユーザーを外すと、該当グループの所属が外れる
10. トラブルシューティング
| 症状 | 確認すること | 対処 |
|---|---|---|
| API Status が Enabled にならない | SCIM Base URL が https://vpn-api.lolipop.jp/scim/v2 か、SCIM Bearer Token が正しいか |
Base URL とトークンを再入力します。トークンを紛失・削除した場合は、新しいトークンを発行して OneLogin 側の SCIM Bearer Token を更新してください。 |
| 401 が返る | トークンのコピー漏れ、古いトークンの使用、Bearer 接頭辞の誤入力 |
SCIM Bearer Token 欄にはトークン文字列のみを入力します。Bearer は付けず、最新のトークンを貼り付けてください。 |
| ユーザーが作成されない | Enable provisioning が有効か、対象ユーザーがアプリに追加されているか、approval 待ちになっていないか | Provisioning、App Users、Users > Provisioning のイベントを確認します。approval を有効にしている場合は、Pending のユーザーを Approve してください。 |
| 属性更新が反映されない | Update user が approval 待ちになっていないか、Parameters のマッピングが正しいか | Pending の更新を Approve するか、自動同期したい場合は Provisioning の Update user approval チェックを外してください。 |
| 無効化後も利用できる | Suspended user の動作が Suspend になっているか、approval 待ちになっていないか | Provisioning 設定を確認し、必要に応じて Pending の更新を Approve してください。 |
| グループ欄が 「ー」 のまま | Parameters の Groups で Include in User Provisioning が有効か、Rules の Action が Map from OneLogin / For each role になっているか | Groups パラメータと Rules を見直し、More Actions > Reapply Provisioning Mappings を実行してください。 |
| 意図しないグループが複数表示される | Rules の正規表現が広すぎないか(例: .*)、対象ユーザーが複数 Role を持っていないか |
Role ごとに ^Role Name$ のように正規表現を絞り、Reapply Provisioning Mappings を実行してください。 |
| OneLogin の Groups を追加しても SCIM Group に出ない | OneLogin の Groups を SCIM Groups と誤解していないか | SCIM Groups として同期したい単位は OneLogin Roles で作成し、Rules の Action で For each role を使ってください。 |
member_of を選んでもグループが同期されない |
AD/LDAP 連携なしで member_of を使っていないか |
member_of は AD/LDAP security group membership 用です。OneLogin Roles を同期する場合は For each role を選択してください。 |
| App User の Groups を手動変更したら警告が出た | 手動編集で mapping を上書きしていないか | 通常運用では手動編集せず、Rules を修正して Reapply Provisioning Mappings を実行してください。必要に応じて対象ユーザーを reset して mapping を復元します。 |
| 連携解除に失敗する | 連携ユーザーに接続先 IP / ライセンスが割り当てられていないか | 管理画面で対象ユーザーの接続先 IP / ライセンスを解除してから、SCIM 連携を解除してください。 |
| 別の IdP と連携中でトークンを発行できない | 既存の SCIM 連携が残っていないか | 連携ユーザー画面で既存の SCIM 連携を解除してから、OneLogin 用のトークンを発行してください。 |