チュートリアル:Elium を構成し、自動ユーザー プロビジョニングに対応させる

このチュートリアルでは、Elium にユーザーまたはグループを自動的にプロビジョニングまたはプロビジョニング解除するように、Elium と Azure Active Directory (Azure AD) を構成する方法について説明します。

注意

このチュートリアルでは、Azure AD ユーザー プロビジョニング サービス上に構築されるコネクタについて説明します。 このサービスが実行する内容やしくみについての重要な情報と、よく寄せられる質問については、「Azure Active Directory による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。

このコネクタは、現在プレビューの段階です。 プレビュー段階の Azure 機能の一般的な使用条件については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

前提条件

このチュートリアルでは、次の前提条件が満たされていることを前提としています。

  • Azure AD テナント
  • Elium テナント
  • 管理者アクセス許可がある Elium のユーザー アカウント

注意

この統合は、Azure AD 米国政府クラウド環境から利用することもできます。 このアプリケーションは、Azure AD 米国政府クラウドのアプリケーション ギャラリーにあります。パブリック クラウドの場合と同じように構成してください。

Elium へのユーザーの割り当て

Azure AD では、選択したアプリへのアクセス権を付与するユーザーを決定するために 割り当て という概念が使用されます。 自動ユーザー プロビジョニングのコンテキストでは、Azure AD 内のアプリケーションに割り当て済みのユーザーとグループのみが同期されます。

自動ユーザー プロビジョニングを構成して有効にする前に、Elium にアクセスする必要がある Azure AD のユーザーとグループを決定しておく必要があります。 その後、エンタープライズ アプリケーションへのユーザーまたはグループの割り当てに関する記事の手順に従って、それらのユーザーとグループを Elium に割り当てます。

ユーザーを Elium に割り当てる際の重要なヒント

単一の Azure AD ユーザーを Elium に割り当てて、自動ユーザー プロビジョニングの構成をテストすることをお勧めします。 後で追加のユーザーやグループを割り当てることができます。

Elium にユーザーを割り当てるときは、アプリケーション固有の有効なロール (使用可能な場合) を割り当てダイアログ ボックスで選択する必要があります。 既定のアクセス ロールのユーザーは、プロビジョニングから除外されます。

Elium をプロビジョニング用に設定する

Azure AD を使用して自動ユーザー プロビジョニング用に Elium を構成する前に、Elium で System for Cross-domain Identity Management (SCIM) プロビジョニングを有効にする必要があります。 次の手順に従います。

  1. Elium にサインインし、 [マイ プロファイル] > [設定] に移動します。

    Elium の [設定] メニュー項目

  2. 左下隅にある [ADVANCED](詳細設定)[セキュリティ] を選択します。

    Elium の [セキュリティ] リンク

  3. [テナントの URL][シークレット トークン] の値をコピーします。 これらの値は後で、Azure portal で Elium アプリケーションの [プロビジョニング] タブの対応するフィールドで使用します。

    Elium の [テナントの URL] フィールドと [シークレット トークン] フィールド

Azure AD を使用した自動ユーザー プロビジョニング用に Elium を構成するには、Azure AD アプリケーション ギャラリーから管理対象のサービスとしてのソフトウェア (SaaS) アプリケーションの一覧に Elium を追加する必要があります。 次の手順に従います。

  1. Azure portal の左側のナビゲーション パネルで、 [Azure Active Directory] を選択します。

    [Azure Active Directory] メニュー項目

  2. [エンタープライズ アプリケーション] に移動し、 [すべてのアプリケーション] を選択します。

    Azure AD の[エンタープライズ アプリケーション] ブレード

  3. 新しいアプリケーションを追加するには、ウィンドウの上部の [新しいアプリケーション] を選択します。

    [新しいアプリケーション] リンク

  4. 検索ボックスに「Elium」と入力し、結果一覧で [Elium] を選択してから、 [追加] ボタンを選択してアプリケーションを追加します。

    ギャラリーの検索ボックス

Elium への自動ユーザー プロビジョニングを構成する

このセクションでは、Azure AD でのユーザーやグループの割り当てに基づいて Elium のユーザーやグループを作成、更新、無効化するように Azure AD プロビジョニング サービスを構成する手順について説明します。

ヒント

Elium シングル サインオンのチュートリアルの手順に従って、SAML (Security Assertion Markup Language) に基づいて Elium のシングル サインオンを有効にできます。 シングル サインオンは自動ユーザー プロビジョニングとは別に構成できますが、これらの 2 つの機能は相補的な関係にあります。

Azure AD で Elium の自動ユーザー プロビジョニングを構成するには、次の手順に従います。

  1. Azure portal にサインインし、 [エンタープライズ アプリケーション] [すべてのアプリケーション] の順に選択します。

    Azure AD の[エンタープライズ アプリケーション] ブレード

  2. アプリケーションの一覧で [Elium] を選択します。

    [エンタープライズ アプリケーション] ブレードのアプリケーション一覧

  3. [プロビジョニング] タブを選択します。

    [エンタープライズ アプリケーション] ブレードの [プロビジョニング] タブ

  4. [プロビジョニング モード][自動] に設定します。

    [プロビジョニング モード] の [自動] 設定

  5. [管理者資格情報] セクションの [テナントの URL] フィールドに「 <tenantURL>/scim/v2」と入力します。 (tenantURL は、以前に Elium 管理コンソールから取得した値です。)また、 [シークレット トークン] フィールドに Elium の シークレット トークン を入力します。 最後に、 [テスト接続] を選択して、Azure AD から Elium に接続できることを確認します。 接続できない場合は、使用中の Elium アカウントに管理者アクセス許可があることを確認してから、もう一度試します。

    [管理者資格情報] の [テナントの URL] フィールドと [シークレット トークン] フィールド

  6. プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを [通知用メール] フィールドに入力し、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。

    通知用メール

  7. [保存] をクリックします。

  8. [マッピング] セクションの [Synchronize Azure Active Directory Users to Elium](Azure Active Directory ユーザーを Elium に同期する) を選択します。

    Elium に Azure AD ユーザーを同期するための同期リンク

  9. [属性マッピング] セクションで、Azure AD から Elium に同期されるユーザー属性を確認します。 [Matching](照合) プロパティとして選択されている属性は、更新処理で Elium のユーザー アカウントとの照合に使用されます。 すべての変更をコミットするには、 [保存] を選択します。

    Azure AD と Elium の間の属性マッピング

  10. スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの手順を参照してください。

  11. Elium に対して Azure AD プロビジョニング サービスを有効にするには、 [設定] セクションで [プロビジョニング状態][オン] に変更します。

    [オン] に設定された [プロビジョニング状態]

  12. [設定] セクションの [スコープ] ドロップダウン リスト ボックスで目的の値を選択して、Elium にプロビジョニングするユーザーとグループを定義します。

    プロビジョニングの [スコープ] リスト ボックス

  13. プロビジョニングの準備ができたら、 [保存] を選択します。

    プロビジョニング構成の [保存] ボタン

この操作により、 [設定] セクションの [スコープ] で定義したすべてのユーザーとグループの初期同期が開始されます。 この初期同期プロセスは、以降の同期よりも時間がかかります。 プロビジョニングに必要な時間の詳細については、「ユーザーをプロビジョニングするにはどのくらいの時間がかかりますか」を参照してください。

[現在の状態] セクションを使用して進行状況を監視し、リンクをクリックしてプロビジョニング アクティビティ レポートを取得します。 プロビジョニング アクティビティ レポートには、Azure AD プロビジョニング サービスによって Elium で実行されたすべてのアクションが記述されます。 詳細については、「ユーザー プロビジョニングの状態を確認する」を参照してください。 Azure AD プロビジョニング ログを読むには、「自動ユーザー アカウント プロビジョニングについてのレポート」を参照してください。

その他のリソース

次のステップ