チュートリアル:15Five を構成し、自動ユーザー プロビジョニングに対応させる

このチュートリアルの目的は、Azure AD が自動的にユーザーまたはグループを 15Five にプロビジョニングまたは 15Five からプロビジョニング解除するように構成するために、15Five と Azure Active Directory (Azure AD) で実行される手順を示すことです。 このサービスが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Azure Active Directory による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。

注意

現在、このコネクタはパブリック プレビュー段階にあります。 プレビュー機能を使用するための一般的な Microsoft Azure 使用条件の詳細については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

サポートされる機能

  • 15Five でユーザーを作成する
  • アクセスが不要になった場合に 15Five のユーザーを削除する
  • Azure AD と 15Five の間でユーザー属性の同期を維持する
  • 15Five でグループとグループ メンバーシップをプロビジョニングする
  • 15Five へのシングル サインオン (推奨)

前提条件

このチュートリアルで説明するシナリオでは、次の前提条件目があることを前提としています。

  • Azure AD テナント
  • プロビジョニングを構成するためのアクセス許可を持つ Azure AD のユーザー アカウント (アプリケーション管理者、クラウド アプリケーション管理者、アプリケーション所有者、グローバル管理者など)。
  • 15Five テナント
  • Admin アクセス許可がある 15Five のユーザー アカウント

注意

この統合は、Azure AD 米国政府クラウド環境から利用することもできます。 このアプリケーションは、Azure AD 米国政府クラウドのアプリケーション ギャラリーにあります。パブリック クラウドの場合と同じように構成してください。

手順 1. プロビジョニングのデプロイを計画する

  1. プロビジョニング サービスのしくみを確認します。
  2. プロビジョニングの対象となるユーザーを決定します。
  3. Azure AD と 15Five の間でマップするデータを決定します。

手順 2. Azure AD でのプロビジョニングをサポートするように 15Five を構成する

Azure AD での自動ユーザー プロビジョニング用に 15Five を構成する前に、15Five 上で SCIM プロビジョニングを有効にする必要があります。

  1. 15Five 管理コンソールにサインインします。 [機能] [統合] の順に移動します。

    Screenshot of the 15Five admin console. Integrations appears under Features in a menu, and both Features and Integrations are highlighted.

  2. [SCIM 2.0] をクリックします。

    Screenshot of the Integrations page in the 15Five admin console. Under Tool, S C I M 2.0 is highlighted.

  3. [SCIM integration]\(SCIM 統合\) [Generate OAuth token]\(OAuth トークンの生成\) の順に移動します。

    Screenshot of the S C I M integration page in the 15Five admin console. Generate OAuth token is highlighted.

  4. [SCIM 2.0 base URL]\(SCIM 2.0 ベース URL\)[アクセス トークン] の値をコピーします。 この値を、Azure portal の 15Five アプリケーションの [プロビジョニング] タブにある [テナント URL] および [シークレット トークン] フィールドに入力します。

    Screen shot of the S C I M integration page. In the Token table, the values next to S C I M 2.0 base U R L and Access token are highlighted.

Azure AD アプリケーション ギャラリーから 15Five を追加して、15Five へのプロビジョニングの管理を開始します。 SSO のために 15Five を以前に設定している場合は、その同じアプリケーションを使用することができます。 ただし、統合を初めてテストするときは、別のアプリを作成することをお勧めします。 ギャラリーからアプリケーションを追加する方法の詳細については、こちらを参照してください。

手順 4. プロビジョニングの対象となるユーザーを定義する

Azure AD プロビジョニング サービスを使用すると、アプリケーションへの割り当て、ユーザーまたはグループの属性に基づいてプロビジョニングされるユーザーのスコープを設定できます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合、以下の手順を使用して、ユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合、こちらで説明されているスコープ フィルターを使用できます。

  • 15Five にユーザーとグループを割り当てるときは、既定のアクセス以外のロールを選択する必要があります。 既定のアクセス ロールを持つユーザーは、プロビジョニングから除外され、プロビジョニング ログで実質的に資格がないとマークされます。 アプリケーションで使用できる唯一のロールが既定のアクセス ロールである場合は、アプリケーション マニフェストを更新してロールを追加することができます。

  • 小さいところから始めましょう。 全員にロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当て済みユーザーとグループに設定される場合、これを制御するには、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てます。 スコープがすべてのユーザーとグループに設定されている場合は、属性ベースのスコープ フィルターを指定できます。

手順 5. 15Five への自動ユーザー プロビジョニングを構成する

このセクションでは、Azure AD プロビジョニング サービスを構成し、Azure AD でのユーザーやグループの割り当てに基づいて 15Five のユーザーやグループを作成、更新、無効化する手順について説明します。

Azure AD で 15Five の自動ユーザー プロビジョニングを構成するには、次の操作を実行します。

  1. Azure portal にサインインします。 [エンタープライズ アプリケーション] を選択し、 [すべてのアプリケーション] を選択します。

    Enterprise applications blade

  2. アプリケーションの一覧で [15Five] を選択します。

    The 15Five link in the Applications list

  3. [プロビジョニング] タブを選択します。

    Screenshot of the Manage options with the Provisioning option called out.

  4. [プロビジョニング モード][自動] に設定します。

    Screenshot of the Provisioning Mode dropdown list with the Automatic option called out.

  5. [管理者資格情報] セクションの [テナント URL] フィールドと [シークレット トークン] フィールドに、先ほど取得した SCIM 2.0 ベース URL と [アクセス トークン] の値をそれぞれ入力します。 [Test Connection]\(テスト接続\) をクリックして、Azure AD から 15Five に接続できることを確認します。 接続できない場合は、その 15Five アカウントに管理者アクセス許可があることを確認してから、もう一度試します。

    Tenant URL + Token

  6. [通知用メール] フィールドに、プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを入力して、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。

    Notification Email

  7. [Save] (保存) をクリックします。

  8. [マッピング] セクションの [Synchronize Azure Active Directory Users to 15Five]\(Azure Active Directory ユーザーを 15Five に同期する\) を選択します。

  9. [属性マッピング] セクションで、Azure AD から 15Five に同期されるユーザー属性を確認します。 [Matching]\(照合\) プロパティとして選択されている属性は、更新処理で 15Five のユーザー アカウントとの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。

    属性 Type
    active Boolean
    title String
    emails[type eq "work"].value String
    userName String
    name.givenName String
    name.familyName String
    externalId String
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager リファレンス
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber String
    urn:ietf:params:scim:schemas:extension:15Five:2.0:User:location String
    urn:ietf:params:scim:schemas:extension:15Five:2.0:User:startDate String
  10. [マッピング] セクションの [Synchronize Azure Active Directory Groups to 15Five]\(Azure Active Directory グループを 15Five に同期する\) を選択します。

  11. [属性マッピング] セクションで、Azure AD から 15Five に同期されるグループ属性を確認します。 [Matching]\(照合\) プロパティとして選択されている属性は、更新処理で 15Five のグループとの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。

    属性 Type
    externalId String
    displayName String
    members リファレンス
  12. スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの次の手順を参照してください。

  13. 15Five に対して Azure AD プロビジョニング サービスを有効にするには、 [設定] セクションで [プロビジョニング状態][オン] に変更します。

    Provisioning Status Toggled On

  14. [設定] セクションの [スコープ] で目的の値を選択して、15Five にプロビジョニングするユーザーやグループを定義します。

    Provisioning Scope

  15. プロビジョニングの準備ができたら、 [保存] をクリックします。

    Saving Provisioning Configuration

    これにより、 [設定] セクションの [スコープ] で 定義したユーザーやグループの初期同期が開始されます。 初期同期は後続の同期よりも実行に時間がかかります。後続の同期は、Azure AD のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。

手順 6. デプロイを監視する

プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。

  1. プロビジョニング ログを使用して、正常にプロビジョニングされたユーザーと失敗したユーザーを特定します。
  2. 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの時間を確認します。
  3. プロビジョニング構成が異常な状態になったと考えられる場合、アプリケーションは検疫されます。 検疫状態の詳細については、こちらを参照してください。

コネクタの制限事項

  • 15Five では、ユーザー向けに論理的な削除はサポートされていません。

ログの変更

  • 2020/06/16 - ユーザー向けにエンタープライズ拡張属性 "Manager" とカスタム属性 "Location" と"Start Date" のサポートが追加されました。

その他のリソース

次のステップ