SCIM 対応アプリへの Microsoft Entra オンプレミス アプリケーションのプロビジョニング

Microsoft Entra プロビジョニング サービスでは、SCIM 2.0 クライアントをサポートしており、これをクラウドまたはオンプレミスのアプリケーションへのユーザーの自動的なプロビジョニングに使用できます。 この記事では、Microsoft Entra プロビジョニング サービスを使用して、SCIM 対応のオンプレミス アプリケーションに、ユーザーをプロビジョニングする方法について概説します。 SQL をデータ ストアとして使用する非 SCIM のオンプレミス アプリケーションにユーザーをプロビジョニングする場合は、「Microsoft Entra ECMA コネクタ ホストの汎用 SQL コネクタのチュートリアル」を参照してください。 Dropbox、Atlassian などのクラウド アプリにユーザーをプロビジョニングする場合は、アプリ固有のチュートリアルを確認してください。

Diagram that shows SCIM architecture.

前提条件

  • Microsoft Entra ID P1 あるいは Premium P2 (または EMS E3 または E5) を使用する、Microsoft Entra テナント。 この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。
  • エージェントをインストールするための管理者ロール。 このタスクは 1 回の作業であり、ハイブリッド ID の管理者またはグローバル管理者である Azure アカウントで行う必要があります。
  • クラウドでアプリケーションを構成するための管理者ロール (アプリケーション管理者、クラウド アプリケーション管理者、グローバル管理者、アクセス許可を持つカスタム ロール)。
  • プロビジョニング エージェントをホストするための RAM が 3 GB 以上のコンピューター。 このコンピューターには、Windows Server 2016 以降のバージョンの Windows Server、ターゲット アプリケーションへの接続、および login.microsoftonline.com、その他の Microsoft Online Services、Azure ドメインへの送信接続が必要です。 1 つの例は、Azure IaaS でホストされているか、またはプロキシの背後にある Windows Server 2016 仮想マシンです。
  • SCIM の実装が、Microsoft Entra の SCIM 要件を満たしていることを確認します。 Microsoft Entra ID は、「チュートリアル: Microsoft Entra ID でサンプル SCIM エンドポイントを開発する」で説明されているように、開発者が SCIM 実装をブートストラップするために使用できるオープンソースの参照コードを提供します。
  • /schemas エンドポイントをサポートして、Azure portal で必要な構成を減らします。

Microsoft Entra Connect プロビジョニング エージェントをインストールして構成する

  1. 少なくとも アプリケーション管理者 の権限で Microsoft Entra 管理センター にサインインします。
  2. ID>アプリケーション>エンタープライズ アプリケーション を参照します。
  3. オンプレミスの SCIM アプリ アプリケーションを検索し、アプリに名前を付けて、[作成] を選択してテナントに追加します。
  4. メニューから、アプリケーションの [プロビジョニング] ページに移動します。
  5. [Get started](作業を開始する) を選択します。
  6. [プロビジョニング] ページで、モードを [自動] に変更します。

Screenshot of selecting Automatic.

  1. [オンプレミス接続] で、[ダウンロードしてインストール] を選択し、[条項に同意してダウンロード] を選択します。

Screenshot of download location for agent.

  1. ポータルをそのままにして、プロビジョニング エージェント インストーラーを開き、サービス使用条件に同意して、[インストール] を選択します。
  2. Microsoft Entra プロビジョニング エージェント構成ウィザードを待ってから、[次へ] を選択します。
  3. [拡張機能を選択] ステップで、[オンプレミス アプリケーションのプロビジョニング] を選択し、[次へ] を選択します。
  4. プロビジョニング エージェントは、オペレーティング システムの Web ブラウザーを使用して、Microsoft Entra ID (および場合によっては組織の ID プロバイダー) に対する認証を行うためのポップアップ ウィンドウを表示します。 Windows Server でブラウザーとして Internet Explorer を使用している場合は、JavaScript を正しく実行できるように、ブラウザーの信頼済みサイト リストに Microsoft Web サイトを追加する必要がある場合があります。
  5. 承認を求められたら、Microsoft Entra 管理者の資格情報を入力します。 ユーザーは、ハイブリッド ID 管理者またはグローバル管理者のロールを持っていることが必要です。
  6. [Confirm] を選択して設定を確認します。 インストールが成功したら、[終了] を選択し、プロビジョニング エージェント パッケージ インストーラーも閉じます。

プロビジョニング エージェントを使用して接続を構成する

  1. 少なくとも アプリケーション管理者 の権限で Microsoft Entra 管理センター にサインインします。

  2. ID>アプリケーション>エンタープライズ アプリケーション を参照します。

  3. 既に作成したアプリケーションを検索します。

  4. メニューから、アプリケーションの [プロビジョニング] ページに移動します。

  5. ポータルの [オンプレミスの接続] セクションで、デプロイしたエージェントを選択し、[エージェントの割り当て] を選択します。

    Screenshot that shows how to select and assign an agent.

  6. プロビジョニング エージェント サービスを再起動するか、接続をテストする前に 10 分待ちます。

  7. [テナント URL] フィールドに、アプリケーションの SCIM エンドポイントの URL を入力します。 例: https://api.contoso.com/scim/

  8. SCIM エンドポイントに必要な OAuth ベアラー トークンを [シークレット トークン] フィールドにコピーします。

  9. [テスト接続] を選択して、Microsoft Entra ID の SCIM エンドポイントへの接続を試みます。 試行に失敗した場合は、エラー情報が表示されます。

  10. アプリケーションへの接続の試行に成功したら、[保存] を選択して管理者資格情報を保存します。

  11. このブラウザー ウィンドウを開いたままにして、構成ウィザードを使用して構成の次の手順を完了します。

SCIM 対応アプリケーションへのプロビジョニング

エージェントがインストールされると、それ以上の構成はオンプレミスでは必要なくなり、すべてのプロビジョニング構成がポータルから管理されます。 SCIM を使用してプロビジョニングされるすべてのオンプレミス アプリケーションについて、次の手順を繰り返します。

  1. アプリケーションに必要な属性マッピングまたはスコープ規則を構成します。
  2. ユーザーとグループをアプリケーションに割り当て、スコープにユーザー を追加します。
  3. オンデマンドで少数のユーザーのプロビジョニングをテストします。
  4. さらに多くのユーザーをアプリケーションに割り当てて、スコープに追加します。
  5. [プロビジョニング] ペインに移動し、 [プロビジョニングの開始] を選択します。
  6. プロビジョニング ログを使用して監視します。

次のビデオでは、オンプレミス プロビジョニングの概要を紹介しています。

次のステップ