次の方法で共有


SCIM 対応アプリへの Microsoft Entra オンプレミス アプリケーションのプロビジョニング

Microsoft Entra プロビジョニング サービスでは、SCIM 2.0 クライアントをサポートしており、これをクラウドまたはオンプレミスのアプリケーションへのユーザーの自動的なプロビジョニングに使用できます。 この記事では、Microsoft Entra プロビジョニング サービスを使用して、SCIM 対応のオンプレミス アプリケーションに、ユーザーをプロビジョニングする方法について概説します。 SQL をデータ ストアとして使用する非 SCIM のオンプレミス アプリケーションにユーザーをプロビジョニングする場合は、「Microsoft Entra ECMA コネクタ ホストの汎用 SQL コネクタのチュートリアル」を参照してください。 Dropbox、Atlassian などのクラウド アプリにユーザーをプロビジョニングする場合は、アプリ固有のチュートリアルを確認してください。

SCIM アーキテクチャを示す図。

前提条件

  • Microsoft Entra ID P1 あるいは Premium P2 (または EMS E3 または E5) を使用する、Microsoft Entra テナント。 この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。
  • エージェントをインストールするための管理者ロール。 このタスクは 1 回限りの作業であり、少なくともハイブリッド ID 管理者である Azure アカウントで行う必要があります。
  • 管理者は、少なくともアプリケーション管理者、クラウド アプリケーション管理者、またはアクセス許可を持つカスタム役割である必要があります。
  • プロビジョニング エージェントをホストするための RAM が 3 GB 以上のコンピューター。 コンピューターには Windows Server 2016 以降のバージョンの Windows Server が必要であり、ターゲット アプリケーションへの接続と、login.microsoftonline.com、他の Microsoft Online Services、および Azure ドメインへの送信接続が必要です。 1 つの例は、Azure IaaS でホストされているか、またはプロキシの背後にある Windows Server 2016 仮想マシンです。
  • SCIM の実装が、Microsoft Entra の SCIM 要件を満たしていることを確認します。 Microsoft Entra ID は、「チュートリアル: Microsoft Entra ID でサンプル SCIM エンドポイントを開発する」で説明されているように、開発者が SCIM 実装をブートストラップするために使用できるオープンソースの参照コードを提供します。
  • /schemas エンドポイントをサポートして、Azure portal で必要な構成を減らします。

Microsoft Entra Connect プロビジョニング エージェントをインストールして構成する

  1. アプリケーション管理者以上の権限で Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
  3. オンプレミスの SCIM アプリ アプリケーションを検索し、アプリに名前を付けて、[作成] を選択してテナントに追加します。
  4. メニューから、アプリケーションの [プロビジョニング] ページに移動します。
  5. [Get started](作業を開始する) を選択します。
  6. [プロビジョニング] ページで、モードを [自動] に変更します。

[自動] を選択しているスクリーンショット。

  1. [オンプレミス接続] で、[ダウンロードしてインストール] を選択し、[条項に同意してダウンロード] を選択します。

エージェントのダウンロード場所のスクリーンショット。

  1. ポータルをそのままにして、プロビジョニング エージェント インストーラーを開き、サービス使用条件に同意して、[インストール] を選択します。
  2. Microsoft Entra プロビジョニング エージェント構成ウィザードを待ってから、[次へ] を選択します。
  3. [拡張機能を選択] ステップで、[オンプレミス アプリケーションのプロビジョニング] を選択し、[次へ] を選択します。
  4. プロビジョニング エージェントは、オペレーティング システムの Web ブラウザーを使用して、Microsoft Entra ID および組織の ID プロバイダーに対して認証するためのポップアップ ウィンドウを表示します。 Windows Server のブラウザーとして Internet Explorer を使用している場合は、JavaScript を正しく実行できるように、ブラウザーの信頼済みサイト一覧に Microsoft Web サイトを追加することが必要になる場合があります。
  5. 承認を求められたら、Microsoft Entra 管理者の資格情報を入力します。 ユーザーは、少なくともハイブリッド ID 管理者ロールを持っている必要があります。
  6. [Confirm] を選択して設定を確認します。 インストールが成功したら、[終了] を選択し、プロビジョニング エージェント パッケージ インストーラーも閉じます。

プロビジョニング エージェントを使用して接続を構成する

  1. アプリケーション管理者以上の権限で Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。

  3. 既に作成したアプリケーションを検索します。

  4. メニューから、アプリケーションの [プロビジョニング] ページに移動します。

  5. ポータルの [オンプレミスの接続] セクションで、デプロイしたエージェントを選択し、[エージェントの割り当て] を選択します。

    エージェントを選択して割り当てる方法を示すスクリーンショット。

  6. プロビジョニング エージェント サービスを再起動するか、接続をテストする前に 10 分待ちます。

  7. [テナント URL] フィールドに、アプリケーションの SCIM エンドポイントの URL を入力します。 例: https://api.contoso.com/scim/

  8. SCIM エンドポイントに必要な OAuth ベアラー トークンを [シークレット トークン] フィールドにコピーします。

  9. [テスト接続] を選択して、Microsoft Entra ID の SCIM エンドポイントへの接続を試みます。 試行に失敗した場合は、エラー情報が表示されます。

  10. アプリケーションへの接続の試行に成功したら、[保存] を選択して管理者資格情報を保存します。

  11. このブラウザー ウィンドウを開いたままにして、構成ウィザードを使用して構成の次の手順を完了します。

SCIM 対応アプリケーションへのプロビジョニング

エージェントがインストールされると、それ以上の構成はオンプレミスでは必要なくなり、すべてのプロビジョニング構成がポータルから管理されます。 SCIM を使用してプロビジョニングされるすべてのオンプレミス アプリケーションについて、次の手順を繰り返します。

  1. アプリケーションに必要な属性マッピングまたはスコープ規則を構成します。
  2. ユーザーとグループをアプリケーションに割り当て、スコープにユーザー を追加します。
  3. オンデマンドで少数のユーザーのプロビジョニングをテストします。
  4. さらに多くのユーザーをアプリケーションに割り当てて、スコープに追加します。
  5. [プロビジョニング] ペインに移動し、 [プロビジョニングの開始] を選択します。
  6. プロビジョニング ログを使用して監視します。

次のビデオでは、オンプレミス プロビジョニングの概要を紹介しています。

次のステップ