Azure Active Directory B2C と Saviynt を構成するためのチュートリアル

Azure Active Directory B2C (Azure AD B2C) と、可視性、セキュリティ、ガバナンスを備えた Saviynt Security Manager プラットフォームを統合する方法について学習します。 Saviynt には、アプリケーションのリスクとガバナンス、インフラストラクチャ管理、特権アカウント管理、および顧客リスク分析が組み込まれています。

詳細情報: Azure AD B2C 用 Saviynt

Azure AD B2C ユーザーのアクセス制御の代理管理を設定するには、次の手順を使用します。 Saviynt では、以下でユーザーが Azure AD B2C ユーザーを管理する権限があるかどうかを判断します。

• ユーザーが操作を実行できるかどうかを判断するための機能レベルのセキュリティ
  • たとえば、ユーザーの作成、ユーザーの更新、ユーザー パスワードのリセットなどです
• ユーザー管理操作中にユーザー属性を読み取り/書き込みできるかどうかを判断するためのフィールド レベルのセキュリティ
  • たとえば、ヘルプ デスク エージェントは電話番号を更新できます。その他の属性は読み取り専用です
• ユーザーが別のユーザーに対して操作を実行できるかどうかを判断するためのデータ レベルのセキュリティ
  • たとえば、英国リージョンのヘルプ デスク管理者は英国のユーザーを管理します

前提条件

開始するには、以下が必要です。

• Azure サブスクリプション

  • お持ちでない場合は、Azure 無料アカウントを取得してください

• お使いの Azure サブスクリプションにリンクされている Azure AD B2C テナント

• saviynt.com の「お問い合わせ」に移動してデモを依頼してください

シナリオの説明

Saviynt 統合には、次のコンポーネントが含まれています。

• Azure AD B2C – 顧客のサインアップ、サインイン、プロファイル管理のカスタム制御のためのサービスとしての ID
  • Azure AD B2C の概要に関するページを参照してください
• Azure AD B2C の Saviynt – ユーザー ライフサイクル管理とアクセス ガバナンスの代理管理のための ID ガバナンス
  • 「Azure AD B2C 用 Saviynt」を参照してください
• Microsoft Graph API - Saviynt で Azure AD B2C ユーザーとそのアクセスを管理するためのインターフェイス
  • 「Microsoft Graph API を使用する」を参照してください

次のアーキテクチャ図は実装を示しています。

1. 代理管理者が、Saviynt を使用して Azure AD B2C ユーザー操作を開始します。
2. Saviynt によって、代理管理者が操作を実行できることが検証されます。
3. Saviynt によって、承認の成功または失敗の応答が送信されます。
4. Saviynt によって、代理管理者は操作を実行できるようになります。
5. Saviynt から、Azure AD B2C でユーザーを管理するようにユーザー属性を指定した Microsoft Graph API が呼び出されます。
6. Microsoft Graph API によって、Azure AD B2C でユーザーの作成、更新、または削除が行われます。
7. Azure AD B2C によって、成功または失敗の応答が送信されます。
8. Microsoft Graph API から Saviynt に応答が返されます。

Saviynt アカウントを作成し、代理ポリシーを作成する

1. Saviynt アカウントを作成します。 作業を開始するには、saviynt.com の「お問い合わせ」に移動します。
2. 代理管理ポリシーを作成します。
3. 代理管理者ロールをユーザーに割り当てます。

Azure AD B2C と Saviynt を構成する

次の手順を使用して、アプリケーションの作成、ユーザーの削除などを行います。

Saviynt 用のMicrosoft Entra アプリケーションを作成する

次の手順では、Azure AD B2C テナントでディレクトリを使用します。

1. Azure portal にサインインします。

2. ポータルのツール バーで、[ディレクトリとサブスクリプション] を選択します。

3. [ポータルの設定]、[ディレクトリとサブスクリプション] ページの [ディレクトリ名] リストで、自分の Azure AD B2C ディレクトリを見つけます。

4. [切り替え] を選択します。

5. Azure portal で、 [Azure AD B2C] を検索して選択します。

6. [アプリの登録]>[新しい登録] の順に選びます。

7. アプリケーション名を入力します。 たとえば、Saviynt です。

8. ［作成］ を選択します

9. [API のアクセス許可] に移動します。

10. [+ アクセス許可の追加] を選択します。

11. [API アクセス許可の要求] ページが表示されます。

12. [Microsoft API] タブを選択します。

13. よく使用される Microsoft API として、[Microsoft Graph] を選択します。

14. 次のページに進んで。

15. [アプリケーションのアクセス許可] を選択します。

16. [ディレクトリ] を選択します。

17. [Directory.Read.All] と [Directory.ReadWrite.All] のチェックボックスをオンにします。

18. [アクセス許可の追加] を選択します。

19. アクセス許可を確認します。

20. [既定のディレクトリに管理者の同意を与えます] を選択します。

21. [保存] を選択します。

22. [証明書とシークレット] に移動します。

23. [+ クライアント シークレットの追加] を選択します。

24. クライアント シークレットの説明を入力します。

25. 有効期限オプションを選択します。

26. [追加] を選択します。

27. [クライアント シークレット] セクションにシークレット キーが表示されます。 後で使用するためにクライアント シークレットを保存します。

28. [概要] に移動します。

29. [クライアント ID] と [テナント ID] をコピーします。

[テナント ID]、[クライアント ID]、[クライアント シークレット] を保存して、セットアップを完了します。

Saviynt でユーザーを削除できるようにする

Saviynt で Azure AD B2C 内のユーザー削除操作を実行できるようにします。

詳細情報: Microsoft Entra ID のアプリケーション オブジェクトとサービス プリンシパル オブジェクト

1. 最新バージョンの Microsoft Graph PowerShell モジュールを Windows ワークステーションまたはサーバーにインストールします。

詳細については、Microsoft Graph PowerShell のドキュメントを参照してください。

2. PowerShell モジュールに接続し、次のコマンドを実行します。

Connect-MgGraph #Enter Admin credentials of the Azure portal
$webApp = Get-MgServicePrincipal –AppPrincipalId “<ClientId of Azure AD Application>”
New-MgDirectoryRoleMemberByRef -RoleName "Company Administrator" -RoleMemberType ServicePrincipal -RoleMemberObjectId $webApp.ObjectId

ソリューションをテストする

Saviynt アプリケーション テナントを参照し、ユーザーのライフサイクル管理とアクセス ガバナンスのユース ケースをテストします。

次のステップ

• Azure AD B2C カスタム ポリシーの概要
• チュートリアル: Azure AD B2C でユーザー フローとカスタム ポリシーを作成する
• Azure Active Directory B2C テナントに Web API アプリケーションを追加する