チュートリアル: Cerner Central を構成し、自動ユーザー プロビジョニングに対応させる
このチュートリアルでは、Microsoft Entra ID から Cerner Central のユーザー リストにユーザー アカウントを自動的にプロビジョニングおよびプロビジョニング解除するために Cerner Central と Microsoft Entra ID で実行する必要がある手順についてご説明します。
前提条件
このチュートリアルで説明するシナリオでは、次の項目があることを前提としています。
- Microsoft Entra テナント
- Cerner Central テナント
Note
Microsoft Entra ID と Cerner Central の統合には、SCIM プロトコルが使用されます。
Cerner Central へのユーザーの割り当て
Microsoft Entra ID では、選択されたアプリへのアクセスが付与されるユーザーを決定する際に "割り当て" という概念が使用されます。 自動ユーザー アカウント プロビジョニングのコンテキストでは、Microsoft Entra ID 内のアプリケーションに "割り当て済み" のユーザーとグループのみが同期されます。
プロビジョニング サービスを構成して有効にする前に、Cerner Central へのアクセスが必要なユーザーとなる Microsoft Entra ID 内のユーザーやグループを決定しておく必要があります。 決定し終えたら、次の手順でこれらのユーザーを Cerner Central に割り当てることができます。
エンタープライズ アプリケーションにユーザーまたはグループを割り当てる
ユーザーを Cerner Central に割り当てる際の重要なヒント
1 人の Microsoft Entra ユーザーを Cerner Central に割り当てて、プロビジョニングの構成をテストすることをお勧めします。 後でユーザーやグループを追加で割り当てられます。
1 人のユーザーが初期テストを完了すると、Cerner ソリューション (Cerner Central ではない) にアクセスし、Cerner のユーザー リストにプロビジョニングされる予定のユーザーについて、ユーザー リストのすべてを割り当てることを Cerner Central が推奨します。 その他の Cerner ソリューションでは、ユーザー リスト内のユーザーのこのリストを利用します。
ユーザーを Cerner Central に割り当てるときに、割り当てのダイアログでユーザー ロールを選択する必要があります。 "既定のアクセス" ロールのユーザーは、プロビジョニングから除外されます。
Cerner Central へのユーザー プロビジョニングの構成
このセクションでは、Microsoft Entra ID を Cerner Central の SCIM のユーザー アカウント プロビジョニング API を使用して Cerner Central のユーザー リストに接続する手順のほか、プロビジョニング サービスを構成して、Microsoft Entra ID のユーザーとグループの割り当てに基づいてロール割り当て済みのユーザー アカウントを Cerner Central で作成、更新、無効化する手順をご説明します。
ヒント
Cerner Central では SAML ベースのシングル サインオンを有効にすることもできます。これを行うには、Azure portal で説明されている手順に従ってください。 シングル サインオンは自動プロビジョニングとは別に構成できますが、これらの 2 つの機能は相補的な関係にあります。 詳細については、Cerner Central のシングル サインオンに関するチュートリアルをご覧ください。
Microsoft Entra ID で Cerner Central への自動ユーザー アカウント プロビジョニングを構成する:
Cerner Central にユーザー アカウントをプロビジョニングするには、Cerner に Cerner Central システム アカウントを要求し、Microsoft Entra ID が Cerner の SCIM エンドポイントへ接続する際に使用できる OAuth ベアラー トークンを生成する必要があります。 また、運用環境にデプロイする前に Cerner のサンドボックス環境で統合を実施することが推奨されています。
最初に、Cerner と Microsoft Entra ID の統合を管理する担当者が CernerCare アカウントを保持していることを確認します。必要なドキュメントにアクセスして手順を完了するためには、このアカウントが必要です。 必要に応じて、下記の URL を使って、該当する各環境に CernerCare アカウントを作成します。
次に、Microsoft Entra ID のためにシステム アカウントを作成する必要があります。 以下の手順を使って、サンドボックス環境と運用環境のシステム アカウントを要求します。
次に、各システム アカウントのために OAuth ベアラー トークンを生成します。 これを実行するには、以下の手順に従ってください。
最後に、Cerner のサンドボックスと運用環境の両方のユーザー リスト領域 ID を取得して構成を完了する必要があります。 取得方法については、https://wiki.ucern.com/display/public/reference/Publishing+Identity+Data+Using+SCIM をご覧ください。
この手順から、Microsoft Entra ID を構成して Cerner にユーザー アカウントをプロビジョニングします。 クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[すべてのアプリケーション] に移動します。
シングル サインオンのために Cerner Central を既に構成している場合は、検索フィールドで Cerner Central のインスタンスを検索します。 または、[追加] を選択して、アプリケーション ギャラリーで [Cerner Central] を検索します。 検索結果から Cerner Central を選択して、アプリケーションの一覧に追加します。
Cerner Central のインスタンスを選択してから、[プロビジョニング] タブを選択します。
[プロビジョニング モード] を [自動] に設定します。
[管理者資格情報] で、以下のフィールドを入力します。
- [テナント URL] フィールドに、次の形式で URL を入力します。その際、"User-Roster-Realm-ID" を手順 4. で取得した領域 ID に置き換えます。
サンドボックス:
https://user-roster-api.sandboxcernercentral.com/scim/v1/Realms/User-Roster-Realm-ID/
運用:
https://user-roster-api.cernercentral.com/scim/v1/Realms/User-Roster-Realm-ID/
[シークレット トークン] フィールドに、手順 3 で生成した OAuth ベアラー トークンを入力し、[テスト接続] をクリックします。
ポータルの右上に成功通知が表示されます。
プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを [通知用メール] フィールドに入力して、下のチェック ボックスをオンにします。
[保存] をクリックします。
[属性マッピング] セクションで、Microsoft Entra ID から Cerner Central に同期されるユーザーとグループの属性を確認します。 [照合] プロパティとして選択されている属性は、更新処理で Cerner Central のユーザー アカウントおよびグループとの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。
Cerner Central に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態] を [オン] に変更する
[保存] をクリックします。
これで、[ユーザーとグループ] セクションで Cerner Central に割り当てたユーザーやグループの初期同期が開始されます。 初期同期は、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行される後続の同期よりも実行に時間がかかります。 [同期の詳細] セクションを使用すると、進行状況を監視できるほか、リンクをクリックしてプロビジョニング アクティビティ ログを取得できます。このログには、プロビジョニング サービスによって Cerner Central アプリに対して実行されたすべてのアクションが記載されています。
Microsoft Entra プロビジョニング ログの読み方の詳細については、「自動ユーザー アカウント プロビジョニングについてのレポート」を参照してください。
その他のリソース
- Cerner Central: Microsoft Entra ID を使用して ID データを公開する
- チュートリアル: Cerner Central を構成して Microsoft Entra ID を使ったシングル サインオンに対応する
- エンタープライズ アプリのユーザー アカウント プロビジョニングの管理
- Microsoft Entra ID のアプリケーション アクセスとシングル サインオンとは