チュートリアル:Harness を構成し、自動ユーザー プロビジョニングに対応させる

この記事では、Azure Active Directory (Azure AD) を構成して、ユーザーまたはグループを Harness に自動的にプロビジョニング/プロビジョニング解除する方法を説明します。

注意

この記事では、Azure AD ユーザー プロビジョニング サービス上に構築されるコネクタについて説明します。 このサービスについての重要な情報とよく寄せられる質問への回答については、「Azure Active Directory による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。

このコネクタは、現在プレビューの段階です。 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。

前提条件

この記事で説明するシナリオでは、次の前提条件があることを前提としています。

  • Azure AD テナント
  • Harness テナント
  • 管理者アクセス許可がある Harness のユーザー アカウント

ユーザーを Harness に割り当てる

Azure Active Directory では、選択されたアプリへのアクセスが付与されるユーザーを決定する際に "割り当て" という概念が使用されます。 自動ユーザー プロビジョニングのコンテキストでは、Azure AD 内のアプリケーションに割り当て済みのユーザーまたはグループのみが同期されます。

自動ユーザー プロビジョニングを構成して有効にする前に、Harness にアクセスする必要がある Azure AD のユーザーまたはグループを決定しておく必要があります。 その後、「エンタープライズ アプリにユーザーまたはグループを割り当てる」の手順に従って、これらのユーザーまたはグループを Harness に割り当てることができます。

ユーザーを Harness に割り当てるときの重要なヒント

  • 単一の Azure AD ユーザーを Harness に割り当てて、自動ユーザー プロビジョニングの構成をテストすることをお勧めします。 後で追加のユーザーまたはグループを割り当てることができます。

  • Harness にユーザーを割り当てるときに、有効なアプリケーション固有ロール (ある場合) を [割り当て] ダイアログ ボックスで選択する必要があります。 既定のアクセス ロールのユーザーは、プロビジョニングから除外されます。

プロビジョニングのための Harness の設定

  1. Harness 管理コンソールにサインインし、 [Continuous Security]\(継続的セキュリティ\)>[Access Management]\(アクセス管理\) に移動します。

    Harness Admin Console

  2. [API Keys]\(API キー\) を選択します。

    Harness API Keys link

  3. [Add API Key]\(API キーの追加\) を選択します。

    Harness Add API Key link

  4. [Add Api Key]\(API キーの追加\) ウィンドウで、次の操作を行います。

    Harness Add Api Key pane

    a. [Name]\(名前\) ボックスにキーの名前を入力します。
    b. [Permissions Inherited from]\(アクセス許可の継承元\) ドロップダウン リストで、オプションを選択します。

  5. [Submit]\(送信\) をクリックします。

  6. このチュートリアルで後から使用するので、キーをコピーしておきます。

    Harness Create Token

Azure AD での自動ユーザー プロビジョニング用に Harness を構成する前に、Azure AD アプリケーション ギャラリーから Harness をマネージド SaaS アプリケーションの一覧に追加する必要があります。

  1. Azure Portal の左側のウィンドウで、 [Azure Active Directory] を選択します。

    The

  2. [エンタープライズ アプリケーション]>[すべてのアプリケーション] の順に選択します。

    The

  3. 新しいアプリケーションを追加するには、ウィンドウの上部にある [新しいアプリケーション] ボタンを選びます。

    The

  4. 検索ボックスに「Harness」と入力し、結果一覧から [Harness] を選択してから、 [追加] ボタンを選択してアプリケーションを追加します。

    Harness in the results list

Harness への自動ユーザー プロビジョニングを構成する

このセクションでは、Azure AD でのユーザーやグループの割り当てに基づいて Harness のユーザーやグループを作成、更新、無効化するように Azure AD プロビジョニング サービスを構成する手順について説明します。

ヒント

Harness では SAML ベースのシングル サインオンを有効にすることもできます。これを行うには、Harness シングル サインオンのチュートリアルの手順に従ってください。 シングル サインオンは自動ユーザー プロビジョニングとは別に構成できますが、これらの 2 つの機能は相補的な関係にあります。

注意

Harness の SCIM エンドポイントの詳細については、Harness の API キーの記事ご覧ください。

Azure AD で Harness の自動ユーザー プロビジョニングを構成するには、以下を行います。

  1. Azure portal で、 [エンタープライズ アプリケーション]>[すべてのアプリケーション] の順に選択します。

    Enterprise applications blade

  2. アプリケーションの一覧で [Harness] を選択します。

    The Harness link in the applications list

  3. [プロビジョニング] を選択します。

    The Provisioning button

  4. [プロビジョニング モード] ドロップダウン リストで、 [自動] を選択します。

    The

  5. [管理者資格情報] で、次の操作を行います。

    Tenant URL + Token

    a. [テナント URL] ボックスに、「https://app.harness.io/gateway/api/scim/account/<your_harness_account_ID>」と入力します。 Harness にログインしているとき、お使いのブラウザーで URL から Harness アカウント ID を取得できます。 b. [シークレット トークン] ボックスに、「プロビジョニングのためのハーネスの設定」セクションの手順 6 で保存した SCIM 認証トークンの値を入力します。
    c. Azure AD から Harness に接続できることを確認するために、[テスト接続] を選択します。 接続できない場合は、使用中の Harness アカウントに "管理者" アクセス許可があることを確認してから、もう一度試します。

  6. [通知用メール] ボックスに、プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを入力し、[エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。

    The

  7. [保存] を選択します。

  8. [マッピング] の下で、[Synchronize Azure Active Directory Users to Harness]\(Azure Active Directory ユーザーを Harness に同期する\) を選択します。

    Harness

  9. [属性マッピング] の下で、Azure AD から Harness に同期されるユーザーの属性を確認します。 [Matching]\(照合\) として選択されている属性を使用して、更新操作で Harness のユーザー アカウントとの照合が行われます。 すべての変更をコミットするには、 [保存] を選択します。

    Harness user

  10. [マッピング] の下で、[Synchronize Azure Active Directory Groups to Harness]\(Azure Active Directory グループを Harness に同期する\) を選択します。

    Harness

  11. [属性マッピング] の下で、Azure AD から Harness に同期されるグループの属性を確認します。 [Matching]\(照合\) プロパティとして選択されている属性は、更新操作で Harness のグループとの照合に使用されます。 すべての変更をコミットするには、 [保存] を選択します。

    Harness group

  12. スコープ フィルターを構成するには、「スコープ フィルターを使用した属性ベースのアプリケーション プロビジョニング」を参照します。

  13. [設定] セクションで、Harness に対する Azure AD プロビジョニング サービスを有効にするために、[プロビジョニング状態] スイッチを [オン] に切り替えます。

    Provisioning Status switch toggled to

  14. [設定] の下の [スコープ] ドロップダウン リストで、Harness にプロビジョニングするユーザーまたはグループの同期方法を選択します。

    Provisioning Scope

  15. プロビジョニングの準備ができたら、 [保存] を選択します。

    The provisioning Save button

この操作により、プロビジョニングするユーザーまたはグループの初期同期が開始されます。 初期同期は、以降の同期よりも実行に時間がかかります。 同期は、Azure AD プロビジョニング サービスが実行されている限り、約 40 分ごとに発生します。 進行状況を監視するには、[同期の詳細] セクションに移動します。 また、リンクをクリックしてプロビジョニング アクティビティ レポートを取得できます。このレポートには、Azure AD プロビジョニング サービスによって Harness に対して実行されたすべてのアクションが記載されています。

Azure AD プロビジョニング ログの読み取りの詳細については、「自動ユーザー アカウント プロビジョニングについてのレポート」をご覧ください。

その他の技術情報

次のステップ