Azure AD での SaaS アプリ ユーザー プロビジョニングの自動化とはWhat is automated SaaS app user provisioning in Azure AD?

Azure Active Directory (Azure AD) でのアプリ プロビジョニングという用語は、ユーザーがアクセスする必要のあるクラウド (SaaS) アプリケーションにおいてユーザーの ID とロールを自動的に作成することを意味します。In Azure Active Directory (Azure AD), the term app provisioning refers to automatically creating user identities and roles in the cloud (SaaS) applications that users need access to. 自動プロビジョニングには、ユーザー ID の作成に加えて、状態または役割が変化したときのユーザー ID のメンテナンスおよび削除が含まれます。In addition to creating user identities, automatic provisioning includes the maintenance and removal of user identities as status or roles change. 一般的なシナリオには、DropboxSalesforceServiceNow などのアプリケーションへの Azure AD ユーザーのプロビジョニングが含まれます。Common scenarios include provisioning an Azure AD user into applications like Dropbox, Salesforce, ServiceNow, and more.

プロビジョニングの概要図

この機能を使用すると次のことができます。This feature lets you:

  • プロビジョニングを自動化する: 新しいユーザーがチームまたは組織に加わるときに、適切なシステムで新しいアカウントを自動的に作成できます。Automate provisioning: Automatically create new accounts in the right systems for new people when they join your team or organization.
  • プロビジョニング解除を自動化する: ユーザーがチームまたは組織を離れるときに、適切なシステムでアカウントを自動的に非アクティブ化できます。Automate deprovisioning: Automatically deactivate accounts in the right systems when people leave the team or organization.
  • システム間でデータを同期する: アプリとシステムの ID は、ディレクトリ (人事システム) での変更に基づいて最新の状態に保たれることが保証されます。Synchronize data between systems: Ensure that the identities in your apps and systems are kept up to date based on changes in the directory or your human resources system.
  • グループをプロビジョニングする: グループをサポートするアプリケーションにグループをプロビジョニングします。Provision groups: Provision groups to applications that support them.
  • アクセスを管理する: アプリケーションにプロビジョニングされたユーザーの監視と監査を行います。Govern access: Monitor and audit who has been provisioned into your applications.
  • ブラウン フィールドのシナリオでシームレスにデプロイする: ターゲット システムにユーザーが既に存在する場合でも、システム間で既存の ID を一致させ、簡単に統合できるようにします。Seamlessly deploy in brown field scenarios: Match existing identities between systems and allow for easy integration, even when users already exist in the target system.
  • リッチなカスタマイズを使用する: ソース システムからターゲット システムにフローする必要があるユーザー データが定義されている、カスタマイズ可能な属性マッピングを利用します。Use rich customization: Take advantage of customizable attribute mappings that define what user data should flow from the source system to the target system.
  • 重大なイベントのアラートを受け取る: プロビジョニング サービスでは、重大なイベントに対するアラートが提供され、ビジネス ニーズに合わせてカスタム アラートを定義できる Log Analytics の統合が可能になります。Get alerts for critical events: The provisioning service provides alerts for critical events, and allows for Log Analytics integration where you can define custom alerts to suite your business needs.

自動プロビジョニングの利点Benefits of automatic provisioning

現代の組織では使用されるアプリケーションの数が増え続けており、IT 管理者は大規模なアクセス管理を強いられます。As the number of applications used in modern organizations continues to grow, IT admins are tasked with access management at scale. Security Assertion Markup Language (SAML) や Open ID Connect (OIDC) などの標準を使用すると、管理者はシングル サインオン (SSO) をすばやく設定できますが、アクセスするにはユーザーをアプリにプロビジョニングする必要もあります。Standards such as Security Assertions Markup Language (SAML) or Open ID Connect (OIDC) allow admins to quickly set up single sign-on (SSO), but access also requires users to be provisioned into the app. 多くの管理者にとって、プロビジョニングとは、すべてのユーザー アカウントを手動で作成すること、または毎週 CSV ファイルをアップロードすることを意味しますが、これらのプロセスは時間がかかり、コストがかかり、エラーが発生しやすくなります。To many admins, provisioning means manually creating every user account or uploading CSV files each week, but these processes are time-consuming, expensive, and error-prone. プロビジョニングを自動化するために SAML Just-In-Time (JIT) などのソリューションが採用されていますが、企業では、ユーザーが組織からいなくなる場合や、役割の変更のために特定のアプリにアクセスする必要がなくなる場合に、ユーザーのプロビジョニングを解除するためのソリューションも必要です。Solutions such as SAML just-in-time (JIT) have been adopted to automate provisioning, but enterprises also need a solution to deprovision users when they leave the organization or no longer require access to certain apps based on role change.

自動プロビジョニングを使用する一般的な動機には、次のようなものがあります。Some common motivations for using automatic provisioning include:

  • プロビジョニング プロセスの効率と正確さを最大限に高める。Maximizing the efficiency and accuracy of provisioning processes.
  • 独自に開発したプロビジョニング ソリューションやプロビジョニング スクリプトのホスティングとメンテナンスに伴うコストを抑える。Saving on costs associated with hosting and maintaining custom-developed provisioning solutions and scripts.
  • ユーザーが組織を離れるときに、主要な SaaS アプリからその ID をすぐに削除することで、組織のセキュリティを高める。Securing your organization by instantly removing users' identities from key SaaS apps when they leave the organization.
  • 多くのユーザーを特定の SaaS アプリまたは SaaS システムに簡単にインポートする。Easily importing a large number of users into a particular SaaS application or system.
  • 誰をプロビジョニングし、誰がアプリにサインインできるようにするかを、1 つのポリシー セットで決定する。Having a single set of policies to determine who is provisioned and who can sign in to an app.

Azure AD のユーザー プロビジョニングは、これらの課題に対応するのに役立ちます。Azure AD user provisioning can help address these challenges. お客様による Azure AD ユーザー プロビジョニングの使用方法について詳しくは、ASOS のケース スタディをご覧ください。To learn more about how customers have been using Azure AD user provisioning, you can read the ASOS case study. 次のビデオでは、Azure AD でのユーザー プロビジョニングの概要について説明します。The video below provides an overview of user provisioning in Azure AD:

Azure AD の自動ユーザー プロビジョニングで利用できるアプリケーションとシステムWhat applications and systems can I use with Azure AD automatic user provisioning?

Azure AD は、一般的な多くの SaaS アプリや人事管理システムとの連携にあらかじめ対応しているほか、SCIM 2.0 標準の特定の領域を実装するアプリにも広く対応しています。Azure AD features pre-integrated support for many popular SaaS apps and human resources systems, and generic support for apps that implement specific parts of the SCIM 2.0 standard.

  • 事前統合されたアプリケーション (ギャラリー SaaS アプリ)Pre-integrated applications (gallery SaaS apps). Azure AD で事前統合プロビジョニング コネクタがサポートされているすべてのアプリケーションについては、ユーザー プロビジョニングのためのアプリケーション チュートリアルの一覧をご覧ください。You can find all applications for which Azure AD supports a pre-integrated provisioning connector in the list of application tutorials for user provisioning. ギャラリーに一覧表示されている事前統合アプリケーションでは、通常、プロビジョニングに SCIM 2.0 ベースのユーザー管理 API が使用されています。The pre-integrated applications listed in the gallery generally use SCIM 2.0-based user management APIs for provisioning.

    Salesforce のロゴ

    プロビジョニングのために新しいアプリケーションを要求したい場合は、アプリケーションをアプリ ギャラリーと統合するよう要求することができます。If you want to request a new application for provisioning, you can request that your application be integrated with our app gallery. ユーザー プロビジョニング要求の場合、アプリケーションには SCIM 準拠のエンドポイントが必要です。For a user provisioning request, we require the application to have a SCIM-compliant endpoint. アプリをプラットフォームに迅速にオンボードできるよう、アプリケーションのベンダーに SCIM 標準に準拠するよう要求してください。Please request that the application vendor follow the SCIM standard so we can onboard the app to our platform quickly.

  • SCIM 2.0 をサポートするアプリケーションApplications that support SCIM 2.0. SCIM 2.0 ベースのユーザー管理 API を実装するアプリケーションを汎用的に接続する方法については、「SCIM エンドポイントの構築とユーザー プロビジョニングの構成」を参照してください。For information on how to generically connect applications that implement SCIM 2.0-based user management APIs, see Build a SCIM endpoint and configure user provisioning.

System for Cross-domain Identity Management (SCIM) とはWhat is System for Cross-domain Identity Management (SCIM)?

プロビジョニングとプロビジョニング解除の自動化を助けるため、アプリでは独自のユーザー API とグループ API を公開します。To help automate provisioning and deprovisioning, apps expose proprietary user and group APIs. ただし、複数のアプリでユーザーを管理しようとすると、すべてのアプリで同じ単純な操作 (ユーザーの作成や更新、ユーザーのグループへの追加、ユーザーのプロビジョニング解除など) が実行されることがわかります。However, anyone who’s tried to manage users in more than one app will tell you that every app tries to perform the same simple actions, such as creating or updating users, adding users to groups, or deprovisioning users. ただし、これらの単純な操作のすべてが、異なるエンドポイント パス、異なるユーザー情報指定方法、および情報の各要素を表す異なるスキーマを使用して、少しずつ異なる方法で実装されています。Yet, all these simple actions are implemented just a little bit differently, using different endpoint paths, different methods to specify user information, and a different schema to represent each element of information.

これらの課題に対処するため、SCIM 仕様では、ユーザーのアプリへの移動、アプリからの移動、アプリ内での移動に対し、共通のユーザー スキーマが提供されています。To address these challenges, the SCIM specification provides a common user schema to help users move into, out of, and around apps. SCIM は、プロビジョニングに対する事実上の標準になりつつあり、SAML や OpenID Connect などのフェデレーション標準と組み合わせて使用すると、エンドツーエンドの標準ベースのアクセス管理用ソリューションが管理者に提供されます。SCIM is becoming the de facto standard for provisioning and, when used in conjunction with federation standards like SAML or OpenID Connect, provides administrators an end-to-end standards-based solution for access management.

アプリケーションに対するユーザーとグループのプロビジョニングおよびプロビジョニング解除を自動化するための SCIM エンドポイントの開発について詳しくは、「SCIM エンドポイントの構築とユーザー プロビジョニングの構成」をご覧ください。For detailed guidance on developing a SCIM endpoint to automate the provisioning and deprovisioning of users and groups to an application, see Build a SCIM endpoint and configure user provisioning. ギャラリー内の事前に統合されたアプリケーション (Slack、Azure Databricks、Snowflake など) については、開発者向けドキュメントをスキップし、こちらのチュートリアルを使用してください。For pre-integrated applications in the gallery (Slack, Azure Databricks, Snowflake, etc.), you can skip the developer documentation and use the tutorials provided here.

手動プロビジョニングと自動プロビジョニングの比較Manual vs. automatic provisioning

Azure AD ギャラリーのアプリケーションは、次の 2 つのプロビジョニング モードのいずれかをサポートしています。Applications in the Azure AD gallery support one of two provisioning modes:

  • 手動プロビジョニングとは、アプリの自動 Azure AD プロビジョニングコネクタがまだないことを意味します。Manual provisioning means there is no automatic Azure AD provisioning connector for the app yet. ユーザー アカウントは手動で作成する必要があります。たとえば、アプリの管理ポータルにユーザーを直接追加したり、ユーザー アカウントの詳細を含むスプレッドシートをアップロードしたりすることでこれを行います。User accounts must be created manually, for example by adding users directly into the app's administrative portal, or uploading a spreadsheet with user account detail. アプリから提供されるドキュメントを確認するか、アプリの開発者に問い合わせて、どのようなメカニズムが使用できるか判断してください。Consult the documentation provided by the app, or contact the app developer to determine what mechanisms are available.

  • "自動" とは、このアプリケーション用の Azure AD プロビジョニング コネクタが開発済みであることを意味します。Automatic means that an Azure AD provisioning connector has been developed for this application. そのアプリケーションのプロビジョニングの設定に固有の設定チュートリアルに従う必要があります。You should follow the setup tutorial specific to setting up provisioning for the application. アプリのチュートリアルについては、「SaaS アプリと Azure Active Directory を統合する方法に関するチュートリアルの一覧」を参照してください。App tutorials can be found at List of Tutorials on How to Integrate SaaS Apps with Azure Active Directory.

Azure AD ギャラリーでは、自動プロビジョニングをサポートするアプリケーションは、プロビジョニング アイコンによって指定されます。In the Azure AD gallery, applications that support automatic provisioning are designated by a Provisioning icon. 新しいギャラリー プレビュー エクスペリエンスに切り替えてこれらのアイコンを表示します ( [アプリケーションの追加] ページの上部にあるバナーで、 [Click here to try out the new and improved app gallery] (改善された新しいアプリ ギャラリーを試すには、こちらをクリックしてください) というリンクを選択します)。Switch to the new gallery preview experience to see these icons (in the banner at the top of the Add an application page, select the link that says Click here to try out the new and improved app gallery).

アプリケーション ギャラリーのプロビジョニング アイコン

アプリケーションでサポートされているプロビジョニング モードは、アプリケーションを [エンタープライズ アプリ] に追加した後の [プロビジョニング] タブにも表示されます。The provisioning mode supported by an application is also visible on the Provisioning tab once you've added the application to your Enterprise apps.

アプリケーションへの自動プロビジョニングを設定する方法How do I set up automatic provisioning to an application?

ギャラリーに一覧表示される事前統合アプリケーションについては、自動プロビジョニングの設定すに関するステップバイステップのガイダンスが用意されています。For pre-integrated applications listed in the gallery, step-by-step guidance is available for setting up automatic provisioning. 統合ギャラリー アプリのチュートリアルの一覧を参照してください。See the list of tutorials for integrated gallery apps. 次のビデオでは、SalesForce の自動ユーザー プロビジョニングの設定方法が説明されています。The following video demonstrates how to set up automatic user provisioning for SalesForce.

SCIM 2.0 をサポートする他のアプリケーションについては、記事「SCIM エンドポイントの構築とユーザー プロビジョニングの構成」の手順に従ってください。For other applications that support SCIM 2.0, follow the steps in the article Build a SCIM endpoint and configure user provisioning.

次の手順Next steps