想定読者

• SmartHRを使ってる企業のなかの人
• SCIM連携ってどんな感じ？っていう人
• 情報システム・コーポレートITの人
• SmartHRとOktaの連携なんも分からんって人

発端

SmartHRとOktaをSCIM連携したら、SmartHRを起点にアカウントを自動で作れるんちゃうん！？って思ったので検証しました。

結論

当然、テクニカルには可だが…
既存の社内フローを考慮して設計する必要があり、ハードルは高め。

前提

既に実装されている機能として、SmartHR → OktaへSCIM連携でアカウントを同期することができます。

「SmartHRとOktaでSAML/SCIM連携の設定が完了していること」は前提として話を進めます。

SmartHR のオプションについて

SAML/SCIM連携を実施する場合は、オプションを追加する必要があります。
1Userあたりの課金で、200Userほどで年間40万ほどの費用が発生します。

参考 : 料金プラン｜SmartHR｜シェアNo.1のクラウド人事労務ソフト

詳細

SmartHR → Okta へSCIM連携の大まかな流れ

「担当者: 内容」のフォーマットで記載しています。

1. SmartHR管理者 : SmartHRに従業員として登録し、招待メールを送信する
2. 従業員 : 招待メールのURLから受諾する
3. SmartHR管理者 or 情シス : 従業員に対してSCIM連携を有効化
4. SmartHR管理者 or 情シス : 従業員に対してSCIM連携用の情報を入力する。
   1. SCIM連携用の情報は姓名・メールアドレスです。
5. Okta に正しい情報で連携されていることを確認する。

壁となるポイント

• 入社時のアカウント作成をSCIM連携で実現するならフローの作り込みが必要となる点
  • そもそもSmartHRをマスタとして活用できるのか
    • 派遣や業務委託も漏れなく管理できているのか
    • 部署や所属を漏れなく管理できているか
      • 異動等にも対応できているか
  • いつまでにSmartHRの従業員登録を完了するのか
    • SmartHRの従業員登録が完了されたらどのように検知するか
  • SmartHRのSCIM連携用の項目には誰がいつまでに情報を入力するのか
    • 入社前に従業員登録される可能性が髙いため、従業員のメールアドレスは情シスが作成してから出ないと分からない。
    • もし「名.姓@ドメイン」の形でメールアドレスを登録していたら、重複が発生した場合にルールを決めなければいけない。

事前に考慮しておくべきポイント

SSO/SCIM連携を実施する上で事前に考慮しておいた方が良いと感じたポイントです。

• Okta ⇔ SmartHRの連携で実現したい状態はどのようなものか。
  • そもそも実現できるのかどうか。SmartHRがマスタとして取り扱える状態になっているか。
• 月数百円/User を支払ってまでオプションを追加するか否か。
  • SAML・SCIM連携してまで守りたい情報か。

補足

• SmartHRでカスタム権限を作成すれば、SmartHRの特定の情報だけを開示するようにできる。
  • 例えば、情シスには、従業員のSCIM連携用の項目と基本情報(氏名)や所属だけを表示させることは出来る。
• SCIM連携の有効化やSCIM連携用の項目の情報はCSVをアップすることで一括編集が可能
• SCIM連携するとSmartHRをソースにしているOkta Profile の項目はロックされるので回避が必要になる。
  • SmartHRからOktaへSCIM連携している時にAPI等でOktaのProfileを更新するときの注意点 (zenn.dev)

参考

• SAML SSO アカウントを有効化・無効化する｜SmartHR
• SmartHRがSCIM対応したので早速試してみた！ – CloudNative Inc. BLOGs
• 「SAML SSO アカウントの有効化」を設定する.docx | Powered by Box
• Okta Provisioning 設定ガイド_gdoc.docx | Powered by Box