チュートリアル:Harness を構成し、自動ユーザー プロビジョニングに対応させる
この記事では、Microsoft Entra ID を構成して、ユーザーまたはグループを Harness に自動的にプロビジョニング/プロビジョニング解除する方法を説明します。
Note
この記事では、Microsoft Entra ユーザー プロビジョニング サービス上に構築されるコネクタについて説明します。 このサービスについての重要な情報とよく寄せられる質問への回答については、「Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。
このコネクタは、現在プレビューの段階です。 プレビューの詳細については、オンライン サービスのユニバーサル ライセンス条項に関するページを参照してください。
前提条件
この記事で説明するシナリオでは、次の前提条件があることを前提としています。
- Microsoft Entra テナント
- Harness テナント
- 管理者アクセス許可がある Harness のユーザー アカウント
ユーザーを Harness に割り当てる
Microsoft Entra ID では、選択されたアプリへのアクセスが付与されるユーザーを決定する際に割り当てという概念が使用されます。 自動ユーザー プロビジョニングのコンテキストでは、Microsoft Entra ID 内のアプリケーションに割り当て済みのユーザーまたはグループのみが同期されます。
自動ユーザー プロビジョニングを構成して有効にする前に、Harness へのアクセスが必要な Microsoft Entra ID のユーザーまたはグループを決定しておく必要があります。 その後、「エンタープライズ アプリにユーザーまたはグループを割り当てる」の手順に従って、これらのユーザーまたはグループを Harness に割り当てることができます。
ユーザーを Harness に割り当てるときの重要なヒント
単一の Microsoft Entra ユーザーを Harness に割り当てて、自動ユーザー プロビジョニングの構成をテストすることをお勧めします。 後で追加のユーザーまたはグループを割り当てることができます。
Harness にユーザーを割り当てるときに、有効なアプリケーション固有ロール (ある場合) を [割り当て] ダイアログ ボックスで選択する必要があります。 既定のアクセス ロールのユーザーは、プロビジョニングから除外されます。
現在、Microsoft Entra ID で Harness FirstGen アプリ統合をセットアップ済みであり、今度は Harness NextGen 用にセットアップしようとしている場合は、SSO を使用して Harness NextGen へのログインを試みる前に、必ずユーザー情報も FirstGen アプリ統合に含めてください。
プロビジョニングのための Harness の設定
Harness 管理コンソールにサインインし、 [Continuous Security](継続的セキュリティ)>[Access Management](アクセス管理) に移動します。
[API Keys](API キー) を選択します。
![Harness の [API Keys]\(API キー\) リンク](media/harness-provisioning-tutorial/apikeys.png)
[Add API Key](API キーの追加) を選択します。
![Harness の [Add API Key]\(API キーの追加\) リンク](media/harness-provisioning-tutorial/addkey.png)
[Add Api Key](API キーの追加) ウィンドウで、次の操作を行います。
![Harness の [Add Api Key]\(API キーの追加\) ウィンドウ](media/harness-provisioning-tutorial/title.png)
a. [Name](名前) ボックスにキーの名前を入力します。
b. [Permissions Inherited from](アクセス許可の継承元) ドロップダウン リストで、オプションを選択します。[Submit](送信) をクリックします。
このチュートリアルで後から使用するので、キーをコピーしておきます。
ギャラリーからの Harness の追加
Microsoft Entra ID で自動ユーザー プロビジョニング用に Harness を構成する前に、Harness を Microsoft Entra アプリケーション ギャラリーから管理対象の SaaS アプリケーションの一覧に追加する必要があります。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
![[すべてのアプリケーション] リンク](common/enterprise-applications.png)
新しいアプリケーションを追加するには、ウィンドウの上部にある [新しいアプリケーション] ボタンを選びます。
![[新しいアプリケーション] ボタン](common/add-new-app.png)
検索ボックスに「Harness」と入力し、結果一覧から [Harness] を選択してから、 [追加] ボタンを選択してアプリケーションを追加します。
Harness への自動ユーザー プロビジョニングを構成する
このセクションでは、Microsoft Entra ID でのユーザー割り当てやグループ割り当てに基づいて、Harness でユーザーが作成、更新、無効化されるように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。
ヒント
Harness では SAML ベースのシングル サインオンを有効にすることもできます。これを行うには、Harness シングル サインオンのチュートリアルの手順に従ってください。 シングル サインオンは自動ユーザー プロビジョニングとは別に構成できますが、これらの 2 つの機能は相補的な関係にあります。
注意
Harness の SCIM エンドポイントの詳細については、Harness の API キーの記事ご覧ください。
Microsoft Entra ID で Harness の自動ユーザー プロビジョニングを構成するには、以下を行います。
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
アプリケーションの一覧で [Harness] を選択します。
[プロビジョニング] を選択します。
![[プロビジョニング] ボタン](common/provisioning.png)
[プロビジョニング モード] ドロップダウン リストで、 [自動] を選択します。
![[プロビジョニング モード] ドロップダウン リスト](common/provisioning-automatic.png)
[管理者資格情報] で、次の操作を行います。
[テナント URL] ボックスに、「
https://app.harness.io/gateway/api/scim/account/<your_harness_account_ID>」と入力します。 Harness にログインしているときに、お使いのブラウザーで URL から Harness アカウント ID を取得できます。[シークレット トークン] ボックスに、「プロビジョニングのためのハーネスの設定」セクションの手順 6 で保存した SCIM 認証トークンの値を入力します。
[接続のテスト] を選んで、Microsoft Entra ID が Harness に接続できることを確認します。 接続できない場合は、使用中の Harness アカウントに "管理者" アクセス許可があることを確認してから、もう一度試します。
[通知用メール] ボックスに、プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを入力し、[エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。
![[通知用メール] ボックス](common/provisioning-notification-email.png)
[保存] を選択します。
[マッピング] で、[Synchronize Microsoft Entra users to Foodee] (Microsoft Entra ユーザーを Harness に同期する) を選びます。
[属性マッピング] の下で、Microsoft Entra ID から Harness に同期されるユーザー属性を確認します。 [Matching](照合) として選択されている属性を使用して、更新操作で Harness のユーザー アカウントとの照合が行われます。 すべての変更をコミットするには、 [保存] を選択します。
![Harness ユーザーの [属性マッピング] ウィンドウ](media/harness-provisioning-tutorial/userattributes.png)
[マッピング] で、[Synchronize Microsoft Entra groups to Foodee] (Microsoft Entra グループを Harness に同期する) を選びます。
[属性マッピング] の下で、Microsoft Entra ID から Harness に同期されるグループ属性を確認します。 [Matching](照合) プロパティとして選択されている属性は、更新操作で Harness のグループとの照合に使用されます。 すべての変更をコミットするには、 [保存] を選択します。
![Harness のグループの [属性マッピング] ウィンドウ](media/harness-provisioning-tutorial/groupattributes.png)
スコープ フィルターを構成するには、「スコープ フィルターを使用した属性ベースのアプリケーション プロビジョニング」を参照します。
[設定] セクションで、Harness に対する Microsoft Entra プロビジョニング サービスを有効にするために、[プロビジョニング状態] スイッチを [オン] に切り替えます。
![[オン] に切り替えられた [プロビジョニング状態] スイッチ](common/provisioning-toggle-on.png)
[設定] の下の [スコープ] ドロップダウン リストで、Harness にプロビジョニングするユーザーまたはグループの同期方法を選択します。
プロビジョニングの準備ができたら、 [保存] を選択します。
![プロビジョニングの [保存] ボタン](common/provisioning-configuration-save.png)
この操作により、プロビジョニングするユーザーまたはグループの初期同期が開始されます。 初期同期は、以降の同期よりも実行に時間がかかります。 同期は、Microsoft Entra プロビジョニング サービスが実行されている限り、約 40 分ごとに発生します。 進行状況を監視するには、[同期の詳細] セクションに移動します。 リンクをたどってプロビジョニング アクティビティ レポートを取得することもできます。このレポートには、Microsoft Entra プロビジョニング サービスによって Harness に対して実行されたすべてのアクションが記載されています。
Microsoft Entra プロビジョニング ログの読み方の詳細については、「自動ユーザー アカウント プロビジョニングについてのレポート」を参照してください。