チュートリアル: Funnel Leasing を構成し、自動ユーザー プロビジョニングに対応させる
このチュートリアルでは、自動ユーザー プロビジョニングを構成するために Funnel Leasing と Microsoft Entra ID の両方で行う必要がある手順について説明します。 構成すると、Microsoft Entra ID で、Microsoft Entra プロビジョニング サービスを使って、Funnel Leasing に対するユーザーのプロビジョニングおよびプロビジョニング解除が自動的に行われます。 このサービスが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。
サポートされる機能
- Funnel Leasing でユーザーを作成します。
- アクセスが不要になった場合に Funnel Leasing のユーザーを削除します。
- Microsoft Entra ID と Funnel Leasing の間でユーザー属性の同期を維持します。
- Funnel Leasing へのシングル サインオン (推奨)。
前提条件
このチュートリアルで説明するシナリオでは、次の前提条件目があることを前提としています。
- Microsoft Entra テナント
- 次のいずれかのロール: アプリケーション管理者、クラウド アプリケーション管理者、アプリケーション所有者。
- Funnel のライブ コミュニティ、または少なくとも必要なすべての構成が稼働日に備えて Funnel 側で完了していることの確認。
手順 1:プロビジョニングのデプロイを計画する
- プロビジョニング サービスのしくみを確認します。
- プロビジョニングの対象となるユーザーを決定します。
- Microsoft Entra ID と Funnel Leasing の間でマップするデータを決定します。
手順 2: Microsoft Entra ID を使ったプロビジョニングをサポートするように Funnel Leasing を構成する
Funnel アカウント マネージャーに問い合わせて、Microsoft Entra ユーザー プロビジョニングの有効化を希望していることを知らせると、認証ベアラー トークンが提供されます。
手順 3: Microsoft Entra アプリケーション ギャラリーから Funnel Leasing を追加する
Microsoft Entra アプリケーション ギャラリーから Funnel Leasing を追加して、Funnel Leasing へのプロビジョニングの管理を開始します。 SSO のために Funnel Leasing を以前に設定している場合は、同じアプリケーションを使用することができます。 ただし、統合を初めてテストするときは、別のアプリを作成することをお勧めします。 ギャラリーからアプリケーションを追加する方法の詳細については、こちらを参照してください。
手順 4:プロビジョニングの対象となるユーザーを定義する
Microsoft Entra プロビジョニング サービスを使用すると、アプリケーションへの割り当てやユーザーの属性に基づいてプロビジョニングされるユーザーのスコープを設定できます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合、以下の手順を使用して、ユーザーをアプリケーションに割り当てることができます。 ユーザーの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合、こちらで説明されているスコープ フィルターを使用できます。
小さいところから始めましょう。 全員にロールアウトする前に、少数のユーザーでテストします。 プロビジョニングのスコープが割り当て済みユーザーに設定される場合、これを制御するには、1 人または 2 人のユーザーをアプリに割り当てます。 スコープがすべてのユーザーに設定されている場合は、属性ベースのスコープ フィルターを指定できます。
追加のロールが必要な場合、アプリケーション マニフェストを更新して新しいロールを追加できます。
手順 5: Funnel Leasing への自動ユーザー プロビジョニングを構成する
このセクションでは、Microsoft Entra ID を Funnel のユーザー アカウント プロビジョニング API に接続する手順と、Microsoft Entra ID のユーザーの割り当てに基づいて、割り当て済みのユーザー アカウントを Funnel で作成、更新、無効化するようにプロビジョニング サービスを構成する手順を説明します。
Microsoft Entra ID で Funnel Leasing の自動ユーザー プロビジョニングを構成するには:
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します
アプリケーションの一覧で [Funnel] を選択します。
[プロビジョニング] タブを選択します。
[プロビジョニング モード] を [自動] に設定します。
[管理者資格情報] セクションで、[テナントの URL] に
https://nestiolistings.com/scim/v2
と、Funnel アカウント マネージャーから先ほど取得した [Secret Token] (シークレット トークン) (認証ベアラー トークン) を入力します。 [接続のテスト] をクリックして、Microsoft Entra ID が Funnel に接続できることを確認します。 接続に失敗した場合は、持っている認証トークンが有効なことを Funnel アカウント マネージャーに確認します。[通知用メール] フィールドに、プロビジョニングのエラー通知を受け取るユーザーの電子メール アドレスを入力して、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。
[保存] を選択します。
[マッピング] セクションで、[Synchronize Microsoft Entra users to Funnel Leasing] (Microsoft Entra ユーザーを Funnel Leasing に同期する) を選びます。
[属性マッピング] セクションで、Microsoft Entra ID から Funnel Leasing に同期されるユーザー属性を確認します。 照合プロパティとして選択されている属性は、更新処理のための Funnel Leasing のユーザー アカウントの照合に使用されます。 照合対象の属性を変更する場合は、その属性に基づいたユーザーのフィルター処理が Funnel Leasing API でサポートされていることを確認する必要があります。 [保存] ボタンをクリックして変更をコミットします。
属性 Type フィルター処理のサポート Funnel Leasing に必要 userName String ✓ ✓ active Boolean ✓ title String emails[type eq "work"].value String ✓ name.givenName String ✓ name.familyName String ✓ phoneNumbers[type eq "work"].value String phoneNumbers[type eq "mobile"].value String externalId String スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの次の手順を参照してください。
Funnel Leasing に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニング状態] をオンに変更します。
[設定] セクションの [スコープ] で目的の値を選択して、Funnel Leasing にプロビジョニングするユーザーを定義します。
プロビジョニングの準備ができたら、 [保存] をクリックします。
この操作によって、 [設定] セクションの [スコープ] で定義したすべてのユーザーの初期同期サイクルが開始されます。 初期サイクルは後続の同期よりも実行に時間がかかります。後続のサイクルは、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。
手順 6:デプロイを監視する
プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。
- プロビジョニング ログを使用して、正常にプロビジョニングされたユーザーと失敗したユーザーを特定します。
- 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの時間を確認します
- プロビジョニング構成が異常な状態になったと考えられる場合、アプリケーションは検疫されます。 検疫状態の詳細については、こちらを参照してください。
ロールとグループのマッピング
Azure ユーザーを Funnel ロールに、または Azure ユーザーを Funnel の従業員グループに関連付けるために、Funnel はカスタム マッピング機能を使用します。
使用される Azure フィールドはどれですか?
ロール マッピングの場合、Funnel は既定で SCIM
title
属性を確認します。 この SCIM 属性は、既定でjobTitle
Azure ユーザー属性にマップされます。グループ マッピングの場合、Funnel は既定で SCIM
userType
属性を確認します。 この SCIM 属性は、既定でdepartment
Azure ユーザー属性にマップされます。使用するフィールドを変更する場合は、[属性マッピング] セクションを編集し、目的のフィールドを
title
とuserType
にマップできます。使用される値はどれですか?
初期セットアップで、ロールとグループのマッピングに使用するすべての値を決定します。 Funnel で構成を設定するために、Funnel アカウント マネージャーにこれらの値を提供します。
たとえば、
jobTitle
フィールドにagent
値を設定する場合は、この値をマップする必要がある Funnel ロールを Funnel アカウント マネージャーに伝える必要があります。今後新しい値を更新または追加する必要がある場合は、Funnel アカウント マネージャーに通知する必要があります。
ユーザーを複数のロールとグループに関連付けるにはどうすればよいですか?
1 人のユーザーを複数の Funnel ロールに関連付けることはできませんが、1 人のユーザーを複数の Funnel 従業員グループに関連付けることはできます。
ユーザーを複数の Funnel 従業員グループに関連付けるには、
department
ユーザー属性 (またはuserType
にマップした任意の属性) に複数の値を指定する必要があります。 各値は区切り記号で区切る必要があります。 既定では、-
文字が区切り記号として使用されます。 別の区切り記号を使用するには、Funnel アカウント マネージャーに通知する必要があります。