1Passwordマニュアル|Azure Kubernetes Serviceに1Password SCIM Bridgeをデプロイする方法を説明し、自動プロビジョニングを実現しましょう。
Last updated
ヒント: Azure Kubernetes Service を使用しない場合でも、 Azure Container Appsまたは別のデプロイ環境を使用してプロビジョニングを自動化できます。
1Password Businessでは、 1Password SCIM Bridge を使用して多くの一般的な管理タスクを自動化できます。System for System for Cross-domain Identity Management (SCIM) プロトコルを使用して、 1PasswordをGoogle Workspace、 JumpCloud、 Microsoft Entra ID、 Okta、 OneLogin、 Ripplingなどの保存済みの ID プロバイダーに接続します。
1Password SCIM Bridgeを展開する前に、プロビジョニング統合を追加し、認証情報を取得する必要があります。 [Get Started]をクリックし、 1Passwordアカウントにサインインして、画面の指示に従ってください。
セットアップ プロセスを完了すると、scimsession ファイルとベアラー トークンが取得されます。これらを1PasswordにSaveし、scimsession ファイルをコンピューターにSaveします。これらは、 SCIM bridgeを展開して ID プロバイダーを接続するために必要になります。
Microsoft Azureポータルでアカウントにサインインします。
右上のCloud Shell をクリックします。
Azure サブスクリプションの一覧を取得します。
az account list -o table az アカウントリスト -o テーブル
Find a subscription you’d like to use for the SCIM bridge deployment, then make note of its Name or SubscriptionID.
SCIM bridgeの展開に使用するサブスクリプションを見つけて、その名前またはサブスクリプション ID をメモします。
Azure アカウントで利用可能な場所の一覧を取得します。
az account list-locations -o table az アカウント リスト - 場所 -o テーブル
Find your preferred server location (region) for the deployment and make note of its Name, such as eastus. デプロイメントに適したサーバーの場所 (リージョン) を見つけて、その名前 (eastus など) をメモします。
保存済みのリソース グループを選択するか、新しいリソース グループをCreateします。
保存済みのリソース グループの一覧を取得するには:
az group list -o table azグループリスト -oテーブル
To create a new resource group: 新しいリソース グループをCreateするには:
az group create --name <desiredName> --location <locationName> az group create --name <希望する名前> --location <場所名>
Make note of the name of the resource group you want to use for the deployment. デプロイメントに使用するリソース グループの名前をメモします。
これらの手順を完了すると、次の詳細が表示されます。
サブスクリプション名またはサブスクリプションID。
場所(地域)。
リソース グループ名。
SCIM bridgeは、Azure Kubernetes Service クラスターにデプロイする必要があります。SCIM bridgeをデプロイする Azure Kubernetes Service クラスターをCreateするには、シェルの関連コマンドをテキスト エディターにコピーし、<プレースホルダー> を手順 2.1 でメモした値に変更します。
Bash:
az aks create -n op-scim \
--enable-cluster-autoscaler \
--ノード数 1 \
--最小カウント 1 \
--最大カウント 3 \
--node-vm-size 標準_B2s \
--load-balancer-sku 基本 \
--node-osdisk-size 32 \
--resource-group <リソースグループ名> \
--sshキーを生Createする
PowerShell:
az aks create -n op-scim `
--enable-cluster-autoscaler `
--ノード数 1 `
--最小カウント 1 `
--最大カウント 3 `
--node-vm-size 標準_B2s `
--load-balancer-sku 基本 `
--node-osdisk-size 32 `
--resource-group <リソースグループ名> `
--sshキーを生Createする
デプロイメントのコマンドを編集したら、 Cloud Shellで実行します。Azure がクラスターをCreateするまで数分かかる場合があります。
クラスターがCreateされたことを示すシェル通知が表示されたら、次の手順に進みます。
Kubernetesサービス ページを開きます。
Createしたクラスターの名前をクリックします。上記のテンプレートの名前をそのままにした場合、名前は op-scim になります。
Click Connect at the top of the page, then click Open Cloud Shell to connect to the cluster. If you already have the Cloud Shell open, run the Set the cluster subscription and Download cluster credentials commands listed in the Connect pane. ページ上部の [接続] をクリックし、 [Cloud Shellを開く] をクリックしてクラスターに接続します。 Cloud Shellが既に開いている場合は、[接続] ペインにリストされている [クラスター サブスクリプションの設定] コマンドと [クラスター資格情報のダウンロード] コマンドを実行します。
SCIM bridgeをデプロイするために必要なすべての構成ファイルは、 GitHubの scim-examples リポジトリで入手できます。
リポジトリをクローンするディレクトリに切り替えて、次のコマンドを実行します。
git clone <a href="https://github.com/1Password/scim-examples.git">https://github.com/ 1Password/scim-examples.git</a>
クローンされたリポジトリ内のKubernetesディレクトリに切り替えます。
scim-examples/kubernetes を CD します。
Kubernetes SecretをCreateする前に、scimsession ファイルをCloud Shellにアップロードします。
[ファイルのアップロード/ダウンロード] ボタンをクリックし、[アップロード] を選択します。
コンピューターにSaveした scimsession ファイルを見つけて選択します。
アップロード先をメモし、「完了」をクリックします。
Kubernetes SecretをCreateするには、次のコマンドを実行します。
Bash:
kubectl create secret generic scimsession --from-file=scimsession=/home/$USER/scimsession kubectl シークレットジェネリックscimsessionをCreateします --from-file=scimsession=/home/$USER/scimsession
PowerShell:
PowerShell:
kubectl create secret generic scimsession --from-file=scimsession=/home/$Env:USER/scimsession kubectl はシークレットジェネリックscimsessionをCreateします --from-file=scimsession=/home/$Env:USER/scimsession
1Password SCIM Bridge は、 Redis インスタンスを使用して Let's Encrypt TLS 証明書をSaveおよびキャッシュします。次のコマンドを使用して、構成、 1Password SCIM Bridge、Redis、およびロード バランサーをデプロイします。
kubectl を適用します -f 。
1Password SCIM Bridge には、管理するドメインのパブリック DNS レコードが必要です。DNS レコードをCreateする前に、ロード バランサーの外部 IP アドレスを取得します。
kubectl サービスを取得する
外部 IP 列に IP アドレスが表示されない場合は、数分待ってからもう一度お試しください。
ロード バランサーのパブリック IP アドレスを指す A レコードを追加します。たとえば、ドメインが example.com の場合は、scim.example.com を使用します。
1Password SCIM Bridge は、 Let's Encrypt が提供する TLS 証明書を使用して、ID プロバイダーとの通信を保護します。
最後の手順でCreateした DNS レコードに基づいて、完全修飾ドメイン名 (FQDN) (例: scim.example.com) を OP_TLS_DOMAIN の値として設定します。
kubectl set envdeploy/op-scim-bridge OP_TLS_DOMAIN=scim.example.com
安全な(HTTPS)接続経由
有効なTLS証明書を持つ
DNS が伝播され、 SCIM bridgeが正常に展開されていることを確認するには、ブラウザーで前の手順で構成したドメインにアクセスします。1Password 1Password SCIM Bridgeのステータス ページが表示されます。OAuth ベアラー トークンを入力して、正しいことを確認します。
ベアラートークンとドメイン(例:scim.example.com)を使用して、 1Passwordへの接続をテストします。
curl --header "Authorization: Bearer <bearer_token>" https://<domain>/scim/Users
1Passwordアカウントのユーザーのリストが表示されれば、 SCIM bridgeは正しく展開されています。
1Passwordで別のメールアドレスを使用している場合は、変更するように依頼してください。
1Passwordに保存済みのグループがあり、それを ID プロバイダーのグループと同期したい場合は、 1Passwordでグループ名を調整します。
1Password SCIM Bridge は、認証に OAuth ベアラー トークンを受け入れる SCIM 2.0 互換の Web サービスを提供するため、さまざまな ID プロバイダーで使用できます。
ID プロバイダーを接続する方法については、以下をご覧ください。
さらにサポートが必要な場合やフィードバックを共有する場合は、 1Password Business Supportに問い合わせるか、 1Password Support Communityでのディスカッションに参加してください。
のプロビジョニング統合の詳細が表示される場合は、まずそれを非アクティブ化する必要があります。 [More Actions]をクリックし、[プロビジョニングの非アクティブ化] を選択します。
重要: セットアップ中に受け取るベアラー トークンと scimsession ファイルは、 1Passwordアカウントの情報にアクセスするために一緒に使用できます。ベアラー トークンは ID プロバイダーと共有する必要がありますが、他のユーザーと共有しないでください。また、scimsession ファイルは絶対に誰とも共有しないでください。
ヒント: 1,000 人を超えるチーム メンバーを管理する場合は、 GitHubのリソース推奨事項の付録を参照して、ニーズに合わせて展開をカスタマイズしてください。
ヒント: すべてのSCIM bridgeトラフィックはポート 443 を使用します。Azure Firewall を使用している場合、または1Password SCIM Bridgeへのイングレスを制限している場合は、Azure Kubernetesクラスターのポート 443 を開きます。Let's Encrypt では、60 日ごとに TLS 証明書を更新するためにポート 443 でのイングレスが必要です。
重要: SCIM bridgeをID プロバイダーに接続する前に、 SCIM bridgeに接続できることを確認してください。
重要: すでに1Password Business を使用している場合は、 1Passwordアカウントのメール アドレスとグループ名が ID プロバイダーのものと一致していることを確認してください。
ユーザーガイド
