SCIM 対応アプリへの Microsoft Entra オンプレミス アプリケーションのプロビジョニング
Microsoft Entra プロビジョニング サービスでは、SCIM 2.0 クライアントをサポートしており、これをクラウドまたはオンプレミスのアプリケーションへのユーザーの自動的なプロビジョニングに使用できます。 この記事では、Microsoft Entra プロビジョニング サービスを使用して、SCIM 対応のオンプレミス アプリケーションに、ユーザーをプロビジョニングする方法について概説します。 SQL をデータ ストアとして使用する非 SCIM のオンプレミス アプリケーションにユーザーをプロビジョニングする場合は、「Microsoft Entra ECMA コネクタ ホストの汎用 SQL コネクタのチュートリアル」を参照してください。 Dropbox、Atlassian などのクラウド アプリにユーザーをプロビジョニングする場合は、アプリ固有のチュートリアルを確認してください。
前提条件
- Microsoft Entra ID P1 あるいは Premium P2 (または EMS E3 または E5) を使用する、Microsoft Entra テナント。 この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。
- エージェントをインストールするための管理者ロール。 このタスクは 1 回限りの作業であり、少なくともハイブリッド ID 管理者である Azure アカウントで行う必要があります。
- 管理者は、少なくともアプリケーション管理者、クラウド アプリケーション管理者、またはアクセス許可を持つカスタム役割である必要があります。
- プロビジョニング エージェントをホストするための RAM が 3 GB 以上のコンピューター。 このコンピューターには、Windows Server 2016 以降のバージョンの Windows Server、ターゲット アプリケーションへの接続、および login.microsoftonline.com、その他の Microsoft Online Services、Azure ドメインへの送信接続が必要です。 1 つの例は、Azure IaaS でホストされているか、またはプロキシの背後にある Windows Server 2016 仮想マシンです。
- SCIM の実装が、Microsoft Entra の SCIM 要件を満たしていることを確認します。 Microsoft Entra ID は、「チュートリアル: Microsoft Entra ID でサンプル SCIM エンドポイントを開発する」で説明されているように、開発者が SCIM 実装をブートストラップするために使用できるオープンソースの参照コードを提供します。
- /schemas エンドポイントをサポートして、Azure portal で必要な構成を減らします。
Microsoft Entra Connect プロビジョニング エージェントをインストールして構成する
- アプリケーション管理者以上の権限で Microsoft Entra 管理センターにサインインします。
- [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
- オンプレミスの SCIM アプリ アプリケーションを検索し、アプリに名前を付けて、[作成] を選択してテナントに追加します。
- メニューから、アプリケーションの [プロビジョニング] ページに移動します。
- [Get started](作業を開始する) を選択します。
- [プロビジョニング] ページで、モードを [自動] に変更します。
- [オンプレミス接続] で、[ダウンロードしてインストール] を選択し、[条項に同意してダウンロード] を選択します。
- ポータルをそのままにして、プロビジョニング エージェント インストーラーを開き、サービス使用条件に同意して、[インストール] を選択します。
- Microsoft Entra プロビジョニング エージェント構成ウィザードを待ってから、[次へ] を選択します。
- [拡張機能を選択] ステップで、[オンプレミス アプリケーションのプロビジョニング] を選択し、[次へ] を選択します。
- プロビジョニング エージェントは、オペレーティング システムの Web ブラウザーを使用して、Microsoft Entra ID (および場合によっては組織の ID プロバイダー) に対する認証を行うためのポップアップ ウィンドウを表示します。 Windows Server でブラウザーとして Internet Explorer を使用している場合は、JavaScript を正しく実行できるように、ブラウザーの信頼済みサイト リストに Microsoft Web サイトを追加する必要がある場合があります。
- 承認を求められたら、Microsoft Entra 管理者の資格情報を入力します。 ユーザーは、少なくともハイブリッド ID 管理者ロールを持っている必要があります。
- [Confirm] を選択して設定を確認します。 インストールが成功したら、[終了] を選択し、プロビジョニング エージェント パッケージ インストーラーも閉じます。
プロビジョニング エージェントを使用して接続を構成する
アプリケーション管理者以上の権限で Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
既に作成したアプリケーションを検索します。
メニューから、アプリケーションの [プロビジョニング] ページに移動します。
ポータルの [オンプレミスの接続] セクションで、デプロイしたエージェントを選択し、[エージェントの割り当て] を選択します。
プロビジョニング エージェント サービスを再起動するか、接続をテストする前に 10 分待ちます。
[テナント URL] フィールドに、アプリケーションの SCIM エンドポイントの URL を入力します。 例:
https://api.contoso.com/scim/
SCIM エンドポイントに必要な OAuth ベアラー トークンを [シークレット トークン] フィールドにコピーします。
[テスト接続] を選択して、Microsoft Entra ID の SCIM エンドポイントへの接続を試みます。 試行に失敗した場合は、エラー情報が表示されます。
アプリケーションへの接続の試行に成功したら、[保存] を選択して管理者資格情報を保存します。
このブラウザー ウィンドウを開いたままにして、構成ウィザードを使用して構成の次の手順を完了します。
SCIM 対応アプリケーションへのプロビジョニング
エージェントがインストールされると、それ以上の構成はオンプレミスでは必要なくなり、すべてのプロビジョニング構成がポータルから管理されます。 SCIM を使用してプロビジョニングされるすべてのオンプレミス アプリケーションについて、次の手順を繰り返します。
- アプリケーションに必要な属性マッピングまたはスコープ規則を構成します。
- ユーザーとグループをアプリケーションに割り当て、スコープにユーザー を追加します。
- オンデマンドで少数のユーザーのプロビジョニングをテストします。
- さらに多くのユーザーをアプリケーションに割り当てて、スコープに追加します。
- [プロビジョニング] ペインに移動し、 [プロビジョニングの開始] を選択します。
- プロビジョニング ログを使用して監視します。
次のビデオでは、オンプレミス プロビジョニングの概要を紹介しています。