チュートリアル:自動ユーザー プロビジョニングのために Adobe Identity Management を構成する

このチュートリアルでは、自動ユーザー プロビジョニングを構成するために Adobe Identity Management と Azure Active Directory (Azure AD) の両方で行う必要がある手順について説明します。 構成すると、Azure AD プロビジョニング サービスを使用した、Adobe Identity Management に対するユーザーとグループのプロビジョニングおよびプロビジョニング解除が、Azure AD によって自動的に行われます。 このサービスが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Azure Active Directory による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。

サポートされる機能

  • Adobe Identity Management でユーザーを作成する
  • ユーザーがアクセスを必要としなくなったときに Adobe Identity Management から削除する
  • Azure AD と Adobe Identity Management の間でのユーザー属性の同期を維持する
  • Adobe Identity Management でグループとグループ メンバーシップをプロビジョニングする
  • Adobe Identity Management へのシングル サインオン (推奨)

前提条件

このチュートリアルで説明するシナリオでは、次の前提条件目があることを前提としています。

  • Azure AD テナント
  • プロビジョニングを構成するためのアクセス許可を持つ Azure AD のユーザー アカウント (アプリケーション管理者、クラウド アプリケーション管理者、アプリケーション所有者、グローバル管理者など)。
  • 検証済みドメインでの Adobe Admin Console におけるフェデレーション ディレクトリ。

注意

組織でユーザー同期ツールまたは UMAPI 統合を使用している場合は、最初に統合を一時停止する必要があります。 次に、Azure Portal からのユーザー管理を自動化するために Azure AD 自動プロビジョニングを追加します。 Azure AD 自動プロビジョニングが構成されて実行されたら、ユーザー同期ツールまたは UMAPI 統合を完全に削除できます。

手順 1. プロビジョニングのデプロイを計画する

  1. プロビジョニング サービスのしくみを確認します。
  2. プロビジョニングの対象となるユーザーを決定します。
  3. Azure AD と Adobe Identity Management の間でマップするデータを決定します。

手順 2. Azure AD を使用したプロビジョニングをサポートするように Adobe Identity Management を構成する

  1. Adobe Admin Console にログインします。 [Settings](設定) > [Directory Details](ディレクトリの詳細) > [Sync](同期) に移動します。

  2. [Add Sync](同期の追加) をクリックします。

    追加

  3. [Sync users from Microsoft Azure](Microsoft Azure からユーザーを同期する) を選択し、 [Next](次へ) をクリックします。

    [Microsoft Azure Active Directory からユーザーを同期する] が選択されていることを示すスクリーンショット。

  4. [Tenant URL](テナント URL)[Secret token](シークレット トークン) をコピーして保存します。 これらの値を、Azure portal の Adobe Identity Management アプリケーションの [プロビジョニング] タブの [テナント URL][シークレット トークン] フィールドに入力します。

    同期

Azure AD アプリケーション ギャラリーから Adobe Identity Management を追加して、Adobe Identity Management へのプロビジョニングの管理を開始します。 前に SSO 用に Adobe Identity Management を設定している場合は、同じアプリケーションを使用できます。 ただし、統合を初めてテストするときは、別のアプリを作成することをお勧めします。 ギャラリーからアプリケーションを追加する方法の詳細については、こちらを参照してください。

手順 4. プロビジョニングの対象となるユーザーを定義する

Azure AD プロビジョニング サービスを使用すると、アプリケーションへの割り当て、ユーザーまたはグループの属性に基づいてプロビジョニングされるユーザーのスコープを設定できます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合、以下の手順を使用して、ユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合、こちらで説明されているスコープ フィルターを使用できます。

  • Adobe Identity Management にユーザーとグループを割り当てるときは、既定のアクセス 以外のロールを選択する必要があります。 既定のアクセス ロールを持つユーザーは、プロビジョニングから除外され、プロビジョニング ログで実質的に資格がないとマークされます。 アプリケーションで使用できる唯一のロールが既定のアクセス ロールである場合は、アプリケーション マニフェストを更新してロールを追加することができます。

  • 小さいところから始めましょう。 全員にロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当て済みユーザーとグループに設定される場合、これを制御するには、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てます。 スコープがすべてのユーザーとグループに設定されている場合は、属性ベースのスコープ フィルターを指定できます。

手順 5. Adobe Identity Management への自動ユーザー プロビジョニングを構成する

このセクションでは、Azure AD でのユーザー、グループ、またはその両方の割り当てに基づいて、TestApp でユーザー、グループ、またはその両方が作成、更新、および無効化されるように Azure AD プロビジョニング サービスを構成する手順について説明します。

Azure AD で Adobe Identity Management への自動ユーザー プロビジョニングを構成するには:

  1. Azure portal にサインインします。 [エンタープライズ アプリケーション] を選択し、 [すべてのアプリケーション] を選択します。

    [エンタープライズ アプリケーション] ブレード

  2. アプリケーションの一覧で [Adobe Identity Management] を選択します。

    アプリケーション一覧での Adobe Identity Management のリンク

  3. [プロビジョニング] タブを選択します。

    [プロビジョニング] タブ

  4. [プロビジョニング モード][自動] に設定します。

    [プロビジョニング] タブの [自動]

  5. [管理者資格情報] セクションで、前の手順 2 から取得した Adobe Identity Management のテナント URL とシークレット トークンを入力します。 [接続テスト] をクリックして、Azure AD から Adobe Identity Management に接続できることを確実にします。 接続できない場合は、お使いの Adobe Identity Management アカウントに管理者アクセス許可があることを確認してから、もう一度試します。

    トークン

  6. [通知用メール] フィールドに、プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを入力して、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。

    通知用メール

  7. [保存] を選択します。

  8. [マッピング] セクションの [Synchronize Azure Active Directory Users to Adobe Identity Management](Azure Active Directory ユーザーを Adobe Identity Management に同期する) を選択します。

  9. [属性マッピング] セクションで、Azure AD から Adobe Identity Management に同期されるユーザー属性を確認します。 [照合] プロパティとして選択されている属性は、更新処理で Adobe Identity Management のユーザー アカウントとの照合に使用されます。 一致する対象の属性を変更する場合は、その属性に基づいたユーザーのフィルター処理が確実に Adobe Identity Management API でサポートされているようにする必要があります。 [保存] ボタンをクリックして変更をコミットします。

    属性 Type
    userName String
    emails[type eq "work"].value String
    active Boolean
    addresses[type eq "work"].country String
    name.givenName String
    name.familyName String
    urn:ietf:params:scim:schemas:extension:Adobe:2.0:User:emailAliases String
  10. [マッピング] セクションの [Synchronize Azure Active Directory Groups to Adobe Identity Management](Azure Active Directory ユーザーを Adobe Identity Management に同期する) を選択します。

  11. [属性マッピング] セクションで、Azure AD から Adobe Identity Management に同期されるグループ属性を確認します。 [照合] プロパティとして選択されている属性は、更新処理で Adobe Identity Management のグループとの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。

    属性 Type
    displayName String
    members リファレンス
  12. スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの次の手順を参照してください。

  13. Adobe Identity Management に対して Azure AD プロビジョニング サービスを有効にするには、 [設定] セクションで [プロビジョニング状態][オン] に変更します。

    プロビジョニングの状態を [オン] に切り替える

  14. [設定] セクションの [スコープ] で目的の値を選択することによって、Adobe Identity Management にプロビジョニングするユーザーまたはグループ、あるいはその両方を定義します。

    プロビジョニングのスコープ

  15. プロビジョニングの準備ができたら、 [保存] をクリックします。

    プロビジョニング構成の保存

この操作により、 [設定] セクションの [スコープ] で定義したすべてのユーザーとグループの初期同期サイクルが開始されます。 初期サイクルは後続の同期よりも実行に時間がかかります。後続のサイクルは、Azure AD のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。

手順 6. デプロイを監視する

プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。

  1. プロビジョニング ログを使用して、正常にプロビジョニングされたユーザーと失敗したユーザーを特定します。
  2. 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの時間を確認します。
  3. プロビジョニング構成が異常な状態になったと考えられる場合、アプリケーションは検疫されます。 検疫状態の詳細については、こちらを参照してください。

その他のリソース

次のステップ