# SCIM によるプロビジョニングを設定

アイデンティティープロバイダー (IdP) から Stripe へのアクセス権が割り当てられたチームメンバーのプロビジョニングとプロビジョニング解除を自動的に行います。

デフォルトでは、SAML を使用してシングルサインオンを設定すると、ユーザーは初めて IdP から Stripe にサインインした際にジャストインタイム (JIT) でプロビジョニングされます。SCIM を使用すると、ユーザーがサインインする前でもチームメンバーを自動的に Stripe にプロビジョニングでき、アクセス権が不要になった場合にはオンデマンドでデプロビジョニングすることも可能です。

Stripe は SCIM 2.0 プロトコルに準拠しており、パブリックプレビュー版では下記の機能のみサポートしています。

### ユーザー

- Stripe にユーザーをプロビジョニングする (`POST /scim/v2/Users`)
- Stripe からユーザーを取得する (`GET /scim/v2/Users/<user_id>`)
- Stripe のユーザーを更新 (`PUT /scim/v2/Users/<user_id>` または `PATCH /scim/v2/Users/<user_id>`)
- Stripe のすべてのユーザーを一覧表示する (`GET /scim/v2/Users`)
- Stripe からのユーザーのプロビジョニング解除 (`DELETE /scim/v2/Users/<user_id>`)

> #### Stripe 固有の動作
> 
> - Stripe はメールアドレスの更新をサポートしていません。ユーザーのメールアドレスを更新する必要がある場合は、新しいメールアドレスでユーザーを再プロビジョニングしてください。
- ユーザーのメールアドレスは、ユーザーの一意の識別子として使用されます。
- ユーザーの無効化 (`PATCH` で `active` を `false` に設定) と削除 (`DELETE`) のどちらも、Stripe アカウントからユーザーを削除します。
- Stripe で処理されるユーザー属性は、`id`、`userName`、`displayName`、`active`、`meta` です。Stripe は他のユーザー属性を処理しないため、SCIM リクエストで渡す必要はありません。

### グループ

- Stripe にグループをプロビジョニングする (`POST /scim/v2/Groups`)
- Stripe からグループを取得する (`GET /scim/v2/Groups/<group_id>`)
- Stripe でグループを更新する (`PUT /scim/v2/Groups/<group_id>` または `PATCH /scim/v2/Groups/<group_id>`)
- Stripe のすべてのグループを一覧表示する (`GET /scim/v2/Groups`)
- Stripe からグループのプロビジョニングを解除する (`DELETE /scim/v2/Groups/<group_id>`)

> #### Stripe 固有の動作
> 
> - グループ名の更新はサポートされていません。グループの名前を変更する必要がある場合は、新しい名前で再プロビジョニングしてください。

## 仕組み

SCIM プロビジョニングを有効にすると、Stripe は、アカウントまたは組織の SCIM API キーを使用して、Stripe SCIM エンドポイントへのリクエストに基づいてユーザーとグループをプロビジョニングします。既存のユーザーは引き続き Stripe にアクセスできます。

SCIM はチームメンバーとグループのプロビジョニングを処理しますが、役割は、役割割り当ての設定に基づいて、ログイン時に IdP から渡される SAML 属性ステートメントまたはダッシュボードで個別に管理されます。

IdP または SCIM クライアントが新しいチームメンバーを Stripe にプロビジョニングすると、 **設定** > **チームとセキュリティ** > [チーム](https://dashboard.stripe.com/settings/team)の下のチームメンバーのリストに自動的に表示されます。IdP または SCIM クライアントがチームメンバーのプロビジョニングを解除すると、そのアクセスはすぐに取り消され、チームメンバーのリストから削除されます。プロビジョニング解除されたチームメンバーは、ダッシュボードから自動的にログアウトされ、Stripe にアクセスできなくなります。アカウントが組織に属している場合は、組織から SSO と SCIM の両方のプロビジョニングを設定する必要があります。組織内の個人アカウントに対して SSO または SCIM を設定することはできません。

SCIM を使用してユーザーをプロビジョニングし、SAML を通じて適用するように役割の割り当てを設定する場合、ユーザーがサインオンするまで権限は割り当てられません。

SCIM を通じてグループをプロビジョニングすると、SAML 役割の割り当ては無効になります。SCIM ベースのグループ同期により、ユーザーのグループメンバーシップが Stripe に同期され、Stripe ダッシュボードで同期されたグループに役割を割り当てることができます。その後、グループのすべてのメンバーがこの役割を継承します。

SCIM と SAML の両方を通じてユーザーに役割を割り当てることはできません。SCIM を通じて同期するグループに役割を割り当てる場合、SAML グループアサーションがフェデレーションエンティティの SAML で受信されたとしても、無視されます。

> #### ハイブリッド構成
> 
> SSO を通じて認証し、SCIM と同期されたグループメンバーシップを通じて役割が割り当てられたユーザーが、すでにダッシュボードで役割を割り当てられている場合、Stripe はそれらの役割を統合 (ユニオン) されたものと見なします。SAML と SCIM 同期グループの両方を通じて同じユーザーに役割を割り当てることはできません。このガイドを使用して、SAML ベースの役割の割り当てから SCIM によるグループベースの役割の割り当てに切り替えてください。以前の SAML ベースの役割の割り当てに戻す必要がある場合は、サポートにお問い合わせください。

## はじめに

SCIM プロビジョニングを有効にする前に、以下を行ってください。

- Stripe ダッシュボードで[管理者](https://docs.stripe.com/get-started/account/teams/roles.md)または[スーパー管理者](https://docs.stripe.com/get-started/account/teams/roles.md)の役割が必要です。
- [シングルサインオン (SSO) ](https://docs.stripe.com/get-started/account/sso.md)が設定されている必要があります。
- SCIM プロビジョニングは、本番環境のアカウントまたは組織でのみ有効にできます。

## SCIM プロビジョニングを有効にする

アカウントまたは組織で SCIM プロビジョニングを有効にするには、以下の手順に従います。

1. チームとセキュリティの設定ページから、[SCIM プロビジョニング](https://dashboard.stripe.com/settings/security/scim-provisioning)に移動して、**有効にする**をクリックします。
1. SCIM エンドポイント URL と SCIM API キーを IdP または SCIM クライアントにコピーします。

> #### 制限事項
> 
> #### レート制限
> 
> 次の 2 種類のレート制限を使用します。
> 
> - 1 秒あたり、およびアカウントまたは組織ごとに変更されたグループメンバーシップの数によるレート制限。
  - アカウントまたは組織ごとに、1 秒あたり 100 件を超えるグループメンバーシップを変更しないでください。1 秒あたり最大 500 件までのグループメンバーシップ変更のバーストに対応していますが、1 秒あたり 500 件のグループメンバーシップ変更が継続すると、SCIM API は `429` ステータスコードを返します。
- 1 秒あたりの API リクエスト数によるレート制限。
  - Stripe API が[レート制限](https://docs.stripe.com/rate-limits.md)を使用して 1 秒あたりの API リクエスト数を制限する方法については、こちらをご覧ください。
> 
> #### Scale 制限
> 
> 組織ごとに 250 のグループを同期できます。

### Okta で設定する

Stripe は、Okta のカスタム SAML 2.0 アプリ統合を使用した SCIM プロビジョニングに対応しています。

#### サポート対象の機能

- **ユーザーの作成**: Okta でユーザーが割り当てられると、Stripe で新しいユーザーをプロビジョニングします。
- **ユーザー属性の更新**: ユーザープロファイルの変更を Okta から Stripe に同期します。
- **ユーザーの無効化**: Okta でユーザーの割り当てが解除されると、Stripe でユーザーを無効化します。
- **グループのプッシュ**: [ダッシュボードでのグループベースの役割の割り当て](https://docs.stripe.com/get-started/account/sso/group-role-assignments.md)を使用できるように、Okta から Stripe にグループをプロビジョニングします。

> #### サポート対象外
> 
> **新規ユーザーのインポート**、**プロフィールの更新のインポート**、**パスワードの同期**の各機能はサポートされていません。Stripe は、ユーザープロフィールの変更が常に、Stripe から Okta ではなく、Okta から Stripe に同期されることを期待しています。

[Okta Glossary](https://help.okta.com/okta_help.htm?type=oie&id=ext_glossary) で、一覧にある機能の詳細をご覧ください。

#### 設定手順

#### Okta カスタムアプリ

##### ステップ 1: ユーザープロビジョニングの設定

1. Stripe アプリケーションを開きます。
1. **General** タブをクリックします。**App Settings** を編集し、**Provisioning** を **SCIM** に設定します。
1. **プロビジョニング** タブをクリックします。**設定** で、**統合** と **編集** をクリックします。
1. **SCIM コネクタのベース URL**に `https://access.stripe.com/scim/v2`と入力します。
1. **Unique identifier field for users (ユーザーの一意の識別子フィールド)** に、値として `email` を追加します。
1. **サポートされているプロビジョニングアクション** で、以下を選択します。
   - **新規ユーザーの追加**
   - **プロファイル更新の追加**
1. **Authentication Mode (認証モード)** で `HTTP Header` を選択します。
1. **オーソリ**には、ベアラートークンとして SCIM API キーを入力します。
1. **コネクター設定をテスト** をクリックし、テストが成功することを確認します。
1. **保存**をクリックします。
1. **設定**\>**アプリへ**タブで、**編集**をクリックし、以下を有効にします。
   - **ユーザーを作成**
   - **ユーザー属性の更新**
   - **ユーザーの無効化**

##### ステップ 2 (オプション): グループプロビジョニングの設定

[Stripe ダッシュボードでのグループベースのロール割り当て](https://docs.stripe.com/get-started/account/sso/group-role-assignments.md)を使用するには、**Group Push** を有効にします。

1. Stripe アプリケーションを開きます。
1. **プロビジョニング** タブをクリックします。**設定** で、**統合** と **編集** をクリックします。
1. **サポートされているプロビジョニングアクション**では、すでに選択されているオプションに加えて以下を選択します。
   - **Push Groups**。SCIM を通じて Stripe にプッシュするグループを決定する際には、この[機能制限](https://help.okta.com/en-us/content/topics/users-groups-profiles/app-assignments-group-push.htm)に注意してください。
1. **コネクター設定をテスト** をクリックし、テストが成功することを確認します。
1. **保存**をクリックします。

その後、Okta から Stripe にグループをプロビジョニングし、Stripe ダッシュボードでそれらのグループに役割を割り当てることができます。

> #### アプリの割り当てと Group Push
> 
> Okta は、アプリの割り当てと Group Push に同じグループを使用することに対応していません。アプリの割り当てと Group Push には異なるグループを使用する必要があります。そうしないと、Okta と Stripe の両方で予期しない動作が発生する可能性があります。この制限の詳細については、[Okta の Group Push に関するドキュメント](https://help.okta.com/en-us/content/topics/users-groups-profiles/app-assignments-group-push.htm)をご覧ください。

### Entra ID で設定する

IdP として Entra ID から SCIM プロビジョニングを設定する場合：

1. **エンタープライズアプリケーション**の下にある Stripe アプリケーションを開いてください。
1. **プロビジョニング** > **アプリケーションを接続** をクリックします。
1. **テナント URL** に「**https://access.stripe.com/scim/v2**.」と入力します。
1. **シークレットトークン**に SCIM API キーを入力します。
1. **接続テスト** > **作成** をクリックします。

> #### プロビジョニングの遅延
> 
> Entra ID の自動プロビジョニング間隔は 40 分に固定されています。

### Ping IDP で設定する

SCIM を使用して PingOne Identity から Stripe にユーザーをプロビジョニングする場合:

1. PingOne 管理コンソールで、 **インテグレーション** > **プロビジョニング** に移動します。
1. **新しい接続** をクリックします。
1. **Identity Store (ID ストア)** 行で、 **Select (選択)** をクリックします。
1. **SCIM Outbound** タイルを選択し、 **Next (次へ)** をクリックします。
1. **名前** と **説明** を入力し、**次へ** をクリックします。
1. **認証の設定** セクションで、次のフィールドに値を入力します。
   - **SCIM ベース URL**:「**https://access.stripe.com/scim/v2**.」
   - **認証方法**: **OAuth 2 ベアラートークン** を選択し、 **認証タイプ** を **ベアラー** に設定します。
1. **接続テスト** をクリックして、PingOne が SCIM リソースへの接続を確立できることを確認します。

## SCIM プロビジョニングを無効にする

SCIM プロビジョニングを無効にするには、次の手順を実行します。

1. チームとセキュリティの設定ページから、[SCIM プロビジョニング](https://dashboard.stripe.com/settings/security/scim-provisioning)に移動します。
1. **無効化** をクリックしてください。これにより、SCIM API キーが自動的に削除されます。

## SCIM API キーをローテーションする

SCIM API キーのローテーションを行うには、以下の手順を実行します。

1. **開発者**メニューから、[API キー](https://dashboard.stripe.com/apikeys)に移動します。
   - 組織を管理している場合は、[Organizations API キー](https://dashboard.stripe.com/org/api-keys/secret)に移動します。
1. SCIM API キーの横にあるオーバーフローメニュー (⋯) をクリックし、**キーの回転**を選択します。

## トラブルシューティング

| 問題                                                     | 解決策                                                                                                                       |
| ------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------------- |
| ユーザー属性の更新が Stripe に反映されない                              | 更新できるのは `displayName` 属性と `active` 属性のみです。その他の属性は、Stripe で処理されないか、不変とみなされます。                                              |
| ユーザーは本人情報確認サービスプロバイダーで無効化されていても、Stripe では削除される         | Stripe は SCIM でユーザーの無効化と削除を区別しません。どちらの操作も、Stripe アカウントからユーザーを削除します。                                                       |
| ユーザーは本人情報確認サービスプロバイダーでアクティブであっても、Stripe では非アクティブと表示される | ダッシュボードの **Inactive** ステータスは、ユーザーが 90 日間ログインしていないことを示します。このステータスは、SCIM によるユーザーの無効化操作とは関係ありません。                            |
| グループ名の更新が Stripe に反映されない                               | Stripe はグループ名の更新に対応していません。グループ名を変更するには、新しい名前で再度プロビジョニングする必要があります。                                                         |
| 役割は SCIM を使用して Stripe に同期されない                          | Stripe は、ダッシュボードまたは SAML でのみ役割の割り当てに対応しています。SCIM で役割を同期することはできません。ただし、SCIM でグループを同期してから、ダッシュボードでそれらのグループに役割を割り当てることはできます。 |