コンテンツにスキップ
アカウント作成/サインイン
Stripe ドキュメントのロゴ
/
アカウントを作成サインイン
概要すべてのプロダクトStripe 用語集
構築を開始する
クイックスタートLLM を活用して構築
一般的なユースケース
概要スタートアップとしてシンプルな決済を受け付けるSaaS スタートアップとしてサブスクリプションを販売する使用量ベースの料金設定でサブスクリプションソリューションを構築する対面支払いを受け付ける請求書を送信して支払いを回収する

メモ

このページはまだ日本語ではご利用いただけません。より多くの言語で文書が閲覧できるように現在取り組んでいます。準備が整い次第、翻訳版を提供いたしますので、もう少しお待ちください。

SCIM による自動ユーザープロビジョニングを設定する公開プレビュー

アイデンティティープロバイダー (IdP) から Stripe へのアクセス権が割り当てられたチームメンバーのプロビジョニングとプロビジョニング解除を自動的に行います。

デフォルトでは、SAML を使用してシングルサインオンを設定すると、ユーザーは初めて IdP から Stripe にサインインした際にジャストインタイム (JIT) でプロビジョニングされます。SCIM を使用すると、ユーザーがサインインする前でもチームメンバーを自動的に Stripe にプロビジョニングでき、アクセス権が不要になった場合にはオンデマンドでデプロビジョニングすることも可能です。

Stripe は SCIM 2.0 プロトコルに準拠しており、パブリックプレビュー版では下記の機能のみサポートしています。

ユーザー

  • ユーザー (グループではなく) を Stripe にプロビジョニングする (POST /scim/v2/Users)
  • Stripe からユーザーを取得する (GET /scim/v2/Users/<user_id>)
  • Stripe のユーザーを更新 (PUT /scim/v2/Users/<user_id> または PATCH /scim/v2/Users/<user_id>)
  • Stripe のすべてのユーザーを一覧表示する (GET /scim/v2/Users)
  • Stripe からのユーザーのプロビジョニング解除 (DELETE /scim/v2/Users/<user_id>)

Behavior specific to Stripe

  • Stripe doesn’t support email updates. If you need to update the user’s email you need to re-provision the user with a new email.
  • We use the user’s email as a unique identifier for them.
  • Both user deactivation (PATCH to set active to false) and deletion (DELETE) result in deleting the user from the Stripe account.
  • The following user attributes are handled by Stripe: id, userName, displayName, active, meta. Stripe doesn’t handle other user attributes, so you don’t need to pass them in SCIM requests.

グループ

  • Stripe にグループをプロビジョニングする (POST /scim/v2/Groups)
  • Stripe からグループを取得する (GET /scim/v2/Groups/<group_id>)
  • Stripe でグループを更新する (PUT /scim/v2/Groups/<group_id> または PATCH /scim/v2/Groups/<group_id>)
  • Stripe のすべてのグループを一覧表示する (GET /scim/v2/Groups)
  • Stripe からグループのプロビジョニングを解除する (DELETE /scim/v2/Groups/<group_id>)

Behavior specific to Stripe

  • We don’t support group name updates. If you need to rename a group you need to re-provision it with a new name.

仕組み

SCIM プロビジョニングを有効にすると、Stripe は、アカウントまたは組織の SCIM API キーを使用して、Stripe SCIM エンドポイントへのリクエストに基づいてユーザーとグループをプロビジョニングします。既存のユーザーは引き続き Stripe にアクセスできます。

SCIM はチームメンバーとグループのプロビジョニングを処理しますが、役割は、役割割り当ての設定に基づいて、ログイン時に IdP から渡される SAML 属性ステートメントまたはダッシュボードで個別に管理されます。

IdP または SCIM クライアントが新しいチームメンバーを Stripe にプロビジョニングすると、 設定 > チームとセキュリティ > チームの下のチームメンバーのリストに自動的に表示されます。IdP または SCIM クライアントがチームメンバーのプロビジョニングを解除すると、そのアクセスはすぐに取り消され、チームメンバーのリストから削除されます。プロビジョニング解除されたチームメンバーは、ダッシュボードから自動的にログアウトされ、Stripe にアクセスできなくなります。アカウントが組織に属している場合は、組織から SSO と SCIM の両方のプロビジョニングを設定する必要があります。組織内の個人アカウントに対して SSO または SCIM を設定することはできません。

SCIM を使用してユーザーをプロビジョニングし、SAML を通じて適用するように役割の割り当てを設定する場合、ユーザーがサインオンするまで権限は割り当てられません。

SCIM を通じてグループをプロビジョニングすると、SAML 役割の割り当ては無効になります。SCIM ベースのグループ同期により、ユーザーのグループメンバーシップが Stripe に同期され、Stripe ダッシュボードで同期されたグループに役割を割り当てることができます。その後、グループのすべてのメンバーがこの役割を継承します。

SCIM と SAML の両方を通じてユーザーに役割を割り当てることはできません。SCIM を通じて同期するグループに役割を割り当てる場合、SAML グループアサーションがフェデレーションエンティティの SAML で受信されたとしても、無視されます。

ハイブリッド構成

SSO を通じて認証し、SCIM と同期されたグループメンバーシップを通じて役割が割り当てられたユーザーが、すでにダッシュボードで役割を割り当てられている場合、Stripe はそれらの役割を統合 (ユニオン) されたものと見なします。SAML と SCIM 同期グループの両方を通じて同じユーザーに役割を割り当てることはできません。このガイドを使用して、SAML ベースの役割の割り当てから SCIM によるグループベースの役割の割り当てに切り替えてください。以前の SAML ベースの役割の割り当てに戻す必要がある場合は、サポートにお問い合わせください。

はじめに

Before you can enable SCIM provisioning, you must first enable Single Sign-On. You can only enable SCIM provisioning in live mode accounts or organizations.

SCIM プロビジョニングを有効にする

アカウントまたは組織で SCIM プロビジョニングを有効にするには、以下の手順に従います。

  1. チームとセキュリティの設定ページから、SCIM プロビジョニングに移動して、有効にするをクリックします。
  2. SCIM エンドポイント URL と SCIM API キーを IdP または SCIM クライアントにコピーします。

制限事項

レート制限

We use two types of rate limits:

  • Rate limit by the number of group memberships modified per second, and per account or organization.
    • Don’t modify more than 100 group memberships per second, per account or organization. We support bursts for up to 500 group membership modifications per second, but continuous traffic of 500 group membership modifications per second results in SCIM APIs returning a429 status code.
  • Rate limit by number of API requests per second.
    • Stripe API がレート制限を使用して 1 秒あたりの API リクエスト数を制限する方法については、こちらをご覧ください。

Scale 制限

組織ごとに 250 のグループを同期できます。

Okta で設定する

IdP として Okta からの SCIM プロビジョニングを設定する場合:

  1. Stripe アプリケーションを開きます。
  2. 一般 タブをクリックします。アプリの設定 を編集し、SCIM プロビジョニングを有効にする をクリックします。
  3. プロビジョニング タブをクリックします。設定 で、統合編集 をクリックします。
  4. SCIM コネクタのベース URLhttps://access.stripe.com/scim/v2と入力します。
  5. Unique identifier field for users (ユーザーの一意の識別子フィールド) に、値として email を追加します。
  6. サポートされているプロビジョニングアクション で、以下を選択します。
    • 新規ユーザーの追加
    • プロファイル更新の追加
    • グループのプッシュ。SCIM を通じて Stripe にプッシュするグループを決定する際には、機能制限に注意してください
  7. Authentication Mode (認証モード)HTTP Header を選択します。
  8. オーソリには、ベアラートークンとして SCIM API キーを入力します。
  9. 保存をクリックします。
  10. 設定>アプリへタブで、編集をクリックし、以下を有効にします。
    • ユーザーを作成
    • ユーザーの無効化

Entra ID で設定する

IdP として Entra ID から SCIM プロビジョニングを設定する場合:

  1. エンタープライズアプリケーションの下にある Stripe アプリケーションを開いてください。
  2. プロビジョニング > アプリケーションを接続 をクリックします。
  3. テナント URL に「https://access.stripe.com/scim/v2.」と入力します。
  4. シークレットトークンに SCIM API キーを入力します。
  5. 接続テスト > 作成 をクリックします。

プロビジョニングの遅延

Entra ID の自動プロビジョニング間隔は 40 分に固定されています。

Ping IDP で設定する

SCIM を使用して PingOne Identity から Stripe にユーザーをプロビジョニングする場合:

  1. PingOne 管理コンソールで、 インテグレーション > プロビジョニング に移動します。
  2. 新しい接続 をクリックします。
  3. Identity Store (ID ストア) 行で、 Select (選択) をクリックします。
  4. SCIM Outbound タイルを選択し、 Next (次へ) をクリックします。
  5. 名前説明 を入力し、次へ をクリックします。
  6. 認証の設定 セクションで、次のフィールドに値を入力します。
    • SCIM ベース URL:「https://access.stripe.com/scim/v2.」
    • 認証方法: OAuth 2 ベアラートークン を選択し、 認証タイプベアラー に設定します。
  7. 接続テスト をクリックして、PingOne が SCIM リソースへの接続を確立できることを確認します。

SCIM プロビジョニングを無効にする

SCIM プロビジョニングを無効にするには、次の手順を実行します。

  1. チームとセキュリティの設定ページから、SCIM プロビジョニングに移動します。
  2. 無効化 をクリックしてください。これにより、SCIM API キーが自動的に削除されます。

SCIM API キーをローテーションする

SCIM API キーのローテーションを行うには、以下の手順を実行します。

  1. 開発者メニューから、API キーに移動します。
  2. SCIM API キーの横にあるオーバーフローメニュー () をクリックし、キーの回転を選択します。
このページの内容