自動ユーザー プロビジョニング用に Zoho One を構成する

このチュートリアルでは、自動ユーザー プロビジョニングを構成するために Zoho One と Microsoft Entra ID の両方で実行する必要がある手順について説明します。 構成すると、Microsoft Entra ID は、Microsoft Entra プロビジョニング サービスを使用して、Zoho One にユーザーとグループを自動的にプロビジョニングし、解除します。 このサービスの機能、しくみ、よく寄せられる質問の重要な詳細については、「Microsoft Entra IDを使用して SaaS アプリケーションへのユーザー プロビジョニングとプロビジョニング解除を自動化する」を参照してください。

サポートされている機能

• Zoho One でユーザーを作成します。
• アクセスが不要になった Zoho One のユーザーを削除します。
• Microsoft Entra ID と Zoho One の間でユーザー属性の同期を維持します。
• Zoho One でグループとグループ メンバーシップを設定する
• Zoho Oneでのシングルサインオンの使用（推奨）。

前提 条件

このチュートリアルで説明するシナリオでは、次の前提条件が既にあることを前提としています。

• Microsoft Entra テナント
• 次のいずれかのロール: アプリケーション管理者、クラウド アプリケーション管理者、または アプリケーション所有者。
• Zoho One の管理者アカウント。

手順 1: プロビジョニングのデプロイを計画する

1. プロビジョニング サービスの のしくみについて説明します。
2. のプロビジョニングの範囲に含まれるのユーザーを決定します。
3. Microsoft Entra ID と Zoho One の間でマップするデータを決めます。

手順 2: Microsoft Entra ID を使用したプロビジョニングをサポートするように Zoho One を構成する

Microsoft Entra ID でのプロビジョニングをサポートするように Zoho One を構成するには、Zoho One サポートにお問い合わせください。

手順 3: Microsoft Entra アプリケーション ギャラリーから Zoho One を追加する

Microsoft Entra アプリケーション ギャラリーから Zoho One を追加して、Zoho One へのプロビジョニングの管理を開始します。 SSO 用に Zoho One を以前に設定している場合は、同じアプリケーションを使用できます。 ただし、最初に統合をテストするときは、別のアプリを作成することをお勧めします。 ギャラリー からアプリケーションを追加する方法の詳細については、を参照してください。

手順 4: プロビジョニングの対象となるユーザーを定義する

Microsoft Entra プロビジョニング サービスを使用すると、アプリケーションへの割り当てに基づいて、またはユーザー/グループの属性に基づいて、プロビジョニングされるユーザーのスコープを設定できます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合は、次の 手順 を使用して、ユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合は、ここで説明されているようにスコープ フィルターを使用できます。

• 小規模から始めます。 すべてのユーザーとグループにロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当てられたユーザーとグループに設定されている場合は、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てることで、これを制御できます。 スコープがすべてのユーザーとグループに設定されている場合は、属性ベースのスコープ フィルターを指定できます。

• さらにロールが必要な場合は、アプリケーション マニフェスト を更新して新しいロールを追加。

手順 5: Zoho One への自動ユーザー プロビジョニングを構成する

このセクションでは、Microsoft Entra ID のユーザーやグループの割り当てに基づいて TestApp でユーザーやグループを作成、更新、無効化するように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。

Microsoft Entra ID で Zoho One の自動ユーザー プロビジョニングを構成するには:

1. 少なくとも クラウド アプリケーション管理者として、Microsoft Entra 管理センター にサインインします。

2. アイデンティティ>アプリケーション>エンタープライズ アプリケーション を参照します。

   

3. アプリケーションの一覧で [Zoho One 選択します。

   

4. [プロビジョニング] タブ を選択します。

   [プロビジョニング] タブの

5. プロビジョニングモード を 自動に設定します。

   

6. [管理者資格情報の] セクションで、Zoho One テナント URL、承認エンドポイント、トークンエンドポイントを入力します。 [テスト接続 をクリックして、Microsoft Entra ID が Zoho One に接続できることを確認します。 接続に失敗した場合は、Zoho One アカウントに管理者アクセス許可があることを確認してから、もう一度やり直してください。

   

   手記

   • Zoho One のテナント URL、承認エンドポイント、トークン エンドポイントはすべてリージョン固有です。 入力する際は注意してください。
   • 承認エンドポイント には、常に値を入力するときに ?access_type=offline&prompt=consent&response_type=code&state=&client_id=1000.T3YYZHB8J5Y2BQ185U2FWOIKREUWAH&scope=ZohoOne.SCIM.ALL&redirect_uri=https%3A%2f%2fportal.azure.com%2fTokenAuthorize を追加する必要があります (たとえば、リージョンが米国の場合は、入力する承認エンドポイントを https://accounts.zoho.com/oauth/v2/auth?access_type=offline&prompt=consent&response_type=code&state=&client_id=1000.T3YYZHB8J5Y2BQ185U2FWOIKREUWAH&scope=ZohoOne.SCIM.ALL&redirect_uri=https%3A%2f%2fportal.azure.com%2fTokenAuthorizeする必要があります)。

7. [通知メール] フィールドに、プロビジョニング エラー通知を受信するユーザーまたはグループの電子メール アドレスを入力し、[エラーが発生したときに電子メール通知を送信する ] チェック ボックス オンにします。

   

8. を選択し、[保存]します。

9. [マッピング] セクションで、[Microsoft Entra ユーザー Zoho Oneに同期する] を選択します。

10. 属性マッピング セクションで、Microsoft Entra ID から Zoho One に同期されるユーザー属性を確認します。 Zoho One のユーザー アカウントを更新操作で照合するために、"一致する属性" として選択された プロパティが使用されます。 一致するターゲット属性 を変更する場合は、Zoho One API がその属性に基づくユーザーのフィルター処理をサポートしていることを確認する必要があります。 [ 保存] ボタンを選択して、変更をコミットします。

    属性	種類	フィルター処理でサポートされます	Zoho One で必須
    userName	糸	✓	✓
    アクティブ	ブーリアン
    表示名	糸
    タイトル	糸
    emails[type eq "work"].value	糸
    優先言語	糸
    name.givenName	糸
    名前.姓	糸
    名前.整形済み	糸
    優先言語	糸
    addresses[type eq "work"].formatted	糸
    アドレス[タイプ eq "作業"].ストリートアドレス	糸
    addresses[type eq "work"].locality	糸
    addresses[type eq "work"].region	糸
    addresses[type eq "work"].postalCode	糸
    addresses[type eq "work"].country	糸
    phoneNumbers[type eq "mobile"].value	糸
    pphoneNumbers[type eq "fax"].value	糸
    phoneNumbers[type eq "work"].value	糸
    エクスターナルID	糸

11. [マッピング] セクションで、[Microsoft Entra グループ Zoho Oneに同期する] を選択します。

12. 属性マッピング セクションで、Microsoft Entra ID から Zoho One に同期されるグループ属性を確認します。 照合のために選択された プロパティとしての属性は、更新操作において Zoho One のグループを照合するために使用されます。 [ 保存] ボタンを選択して、変更をコミットします。

    属性	種類	フィルター処理でサポートされます	Zoho One で必須
    表示名	糸	✓	✓
    メンバー	参考
    externalId	糸

13. スコープ フィルターを構成するには、スコープ フィルターのチュートリアルで提供されている次の手順を参照してください。

14. Zoho One に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで プロビジョニング状態の を [オン] に変更します。

    

15. [設定] セクションの [スコープ] で目的の値を選択して、Zoho One にプロビジョニングするユーザーまたはグループ 定義します。

    

16. プロビジョニングの準備ができたら、[保存]をクリックします。

    

この操作により、[の設定] セクションの スコープ で定義されているすべてのユーザーとグループの初期同期サイクルが開始されます。 最初のサイクルは、Microsoft Entra プロビジョニング サービスが実行されている限り、約 40 分ごとに発生する後続のサイクルよりも実行に時間がかかります。

手順 6: デプロイを監視する

プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。

• プロビジョニング ログ を使用して、正常にプロビジョニングされたユーザーまたは失敗したユーザーを特定します
• 進行状況バーの を確認して、プロビジョニング サイクルの状態と完了までの近さを確認します
• プロビジョニング構成が異常な状態にあると思われる場合、アプリケーションは検疫に入ります。 検疫状態の詳細については、を参照してください。

その他のリソース

• エンタープライズ アプリのユーザーアカウントプロビジョニングを管理すること
• Microsoft Entra ID でのアプリケーション アクセスとシングル サインオンとは

次の手順

• ログを確認し、プロビジョニング アクティビティの に関するレポートを取得する方法について説明します