Azure Portal でエンタープライズ アプリのユーザー アカウント プロビジョニングを管理する

この記事では、サポートされているアプリケーションの自動ユーザー アカウントのプロビジョニングとプロビジョニング解除を管理する一般的な手順について説明します。 "ユーザー アカウントのプロビジョニング" とは、アプリケーションのローカル ユーザー プロファイル ストアのユーザー アカウント レコードを作成、更新、無効化することです。 ほとんどのクラウドおよび SaaS アプリケーションでは、ユーザー ロールとアクセス許可をユーザー独自のローカル ユーザー プロファイル ストアに格納しています。このようにユーザーのローカル ストアにユーザー レコードを格納することは、シングル サインオンとアクセスの実行のために "必須" となっています。 自動ユーザー アカウント プロビジョニングの詳細については、「Azure Active Directory による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。

重要

Azure Active Directory (Azure AD) には、Azure AD による自動プロビジョニングに対応した何千もの事前統合されたアプリケーションを含むギャラリーがあります。 まず、SaaS アプリと Azure Active Directoryを統合する方法に関するチュートリアルの 一覧で、使用しているアプリケーションに固有のプロビジョニングのセットアップのチュートリアルを見つけてください。 ここでは、アプリと Azure AD の両方を構成してプロビジョニング接続を作成する手順について、順を追って説明します。

ポータルでアプリを検索する

Azure Active Directory ポータルを使用して、ディレクトリでのシングル サインオン用に構成されているすべてのアプリケーションを表示して管理します。 エンタープライズ アプリとは、組織内で使用されるデプロイ済みのアプリです。 エンタープライズ アプリを表示して管理するには、次の手順に従います。

  1. Azure Active Directory ポータルを開きます。

  2. 左側のウィンドウで、 [エンタープライズ アプリケーション] を選択します。 ギャラリーから追加されたアプリを含む、構成済みのすべてのアプリの一覧が表示されます。

  3. 任意のアプリを選択し、そのリソース ウィンドウを読み込み、そこでレポートを表示したり、アプリの設定を管理したりできます。

  4. 選択したアプリのユーザー アカウントのプロビジョニング設定を管理するには、 [プロビジョニング] を選択します。

    ユーザー アカウントでのプロビジョニング設定を管理する [プロビジョニング] 画面

プロビジョニング モード

[プロビジョニング] ウィンドウの先頭には [モード] メニューがあり、エンタープライズ アプリケーションでサポートされているプロビジョニング モードが表示され、プロビジョニング モードを構成できます。 利用可能なオプションは、次のとおりです。

  • [自動] - Azure AD でこのアプリケーションに対する API ベースの自動ユーザー アカウント プロビジョニングやプロビジョニング解除がサポートされている場合、このオプションが表示されます。 このモードを選択すると、管理者に役立つインターフェイスが表示されます。

    • アプリケーションのユーザー管理 API に接続するように Azure AD を構成する
    • Azure AD とアプリの間でのユーザー アカウント データのフロー方法を定義するアカウント マッピングとワークフローを作成する
    • Azure AD プロビジョニング サービスを管理する
  • [手動] - Azure AD でこのアプリケーションに対するユーザー アカウントの自動プロビジョニングがサポートされていない場合、このオプションが表示されます。 この場合は、アプリケーションが提供するユーザーの管理とプロビジョニング機能 (SAML のジャストインタイム プロビジョニングなど) に基づき、外部プロセスを使用して、そのアプリケーションに格納されているユーザー アカウント レコードを管理する必要があることを意味します。

自動ユーザー アカウント プロビジョニングを構成する

[自動] オプションを選択し、管理者の資格情報、マッピング、開始と停止、および同期の設定を指定します。

[Admin Credentials (管理者の資格情報)]

[管理者資格情報] を展開し、Azure AD をアプリケーションのユーザー管理 API に接続するために必要な資格情報を入力します。 必要な入力は、アプリケーションによって異なります。 資格情報の種類と特定のアプリケーションの要件の詳細については、 その特定のアプリケーションの構成に関するチュートリアルを参照してください。

[接続テスト] を選択して、資格情報をテストします (Azure AD が、指定された資格情報を使用してアプリのプロビジョニング アプリへの接続を試みます)。

マッピング

[マッピング] を展開し、ユーザー アカウントをプロビジョニングまたは更新する場合に、Azure AD とターゲット アプリケーションの間でフローするユーザー属性を表示および編集します。

Azure AD ユーザー オブジェクトと各 SaaS アプリのユーザー オブジェクトの間には、構成済みの一連のマッピングが存在します。 一部のアプリではグループ オブジェクトも管理します。 テーブルでマッピングを選択するとマッピング エディターが開き、それらを表示してカスタマイズできます。

サポートされるカスタマイズは次のとおりです。

  • Azure AD ユーザー オブジェクトと SaaS アプリのユーザー オブジェクトなど、特定のオブジェクトのマッピングを有効および無効にする。

  • Azure AD ユーザー オブジェクトからアプリのユーザー オブジェクトにフローする属性を編集する。 属性マッピングの詳細については、「 属性マッピングの種類について」を参照してください。

  • Azure AD がターゲット アプリケーションに対して実行するプロビジョニング操作をフィルター処理する。 Azure AD でオブジェクトを完全に同期するのではなく、実行される操作を制限することができます。

    たとえば、 [更新] のみを選択すると、Azure AD はアプリケーションの既存のユーザー アカウントの更新のみを行い、新しいユーザー アカウントは作成しません。 [作成] のみを選択すると、Azure は新しいユーザー アカウントの作成のみを行い、既存のユーザー アカウントは更新しません。 この機能により、アカウントの作成ワークフローと更新ワークフローで異なるマッピングを作成できます。

  • 新しい属性マッピングを追加する。 [属性マッピング] ウィンドウの下部にある [新しいマッピングの追加] を選択します。 [属性の編集] フォームに記入し、 [OK] を選択してリストに新しいマッピングを追加します。

設定

[設定] を展開して通知を受信するためのメール アドレスと、エラー発生時にアラートを受信するかどうかを設定します。 同期するユーザーのスコープを選択することもできます。すべてのユーザーとグループ、または割り当てられているもののみを同期することを選択できます。

プロビジョニング状態

アプリケーションに対して初めてプロビジョニングを有効にする場合は、 [プロビジョニング状態][オン] に変更して、サービスを有効にします。 この変更により、Azure AD プロビジョニング サービスで初期周期が実行されます。 これにより、 [ユーザーとグループ] セクションで割り当てられたユーザーが読み取られ、そのユーザーのターゲット アプリケーションが照会され、Azure AD の [マッピング] セクションで定義されているプロビジョニング操作が実行されます。 このプロセス中に、プロビジョニング サービスは管理対象のユーザー アカウントに関するキャッシュ データを格納します。そのため、割り当てのスコープに存在しない、ターゲット アプリケーション内の管理対象外のアカウントはプロビジョニング解除操作の影響を受けません。 初期周期の後、プロビジョニング サービスでは 40 分間隔で自動的にユーザーとグループ オブジェクトを同期します。

[プロビジョニング状態][オフ] に変更すると、プロビジョニング サービスが一時停止します。 この状態では、アプリのユーザーやグループ オブジェクトの作成、更新、削除が行われることはありません。 状態を [オン] に戻すと、サービスは中断したところから再開します。