Microsoft Entra オンプレミス アプリケーション ID プロビジョニングのアーキテクチャ

概要

次の図は、オンプレミス アプリケーション プロビジョニングのしくみを示しています。

Diagram that shows the architecture for on-premises application provisioning.

オンプレミス アプリケーションへのユーザー プロビジョニングには、主要なコンポーネントが 3 つあります。

  • プロビジョニング エージェントは、Microsoft Entra ID とオンプレミス環境とを接続する役割を担います。
  • Extensible Connectivity (ECMA) コネクタ ホストは、Microsoft Entra ID からのプロビジョニング要求を、ターゲット アプリケーションへの要求に変換します。 Microsoft Entra ID とアプリケーションとの間のゲートウェイとして機能します。 これを使用して、Microsoft Identity Manager で使用される既存の ECMA2 コネクタをインポートすることができます。 SCIM アプリケーションまたは SCIM ゲートウェイを構築済みである場合、ECMA ホストは必要ありません。
  • Microsoft Entra プロビジョニング サービスは、同期エンジンとして機能します。

Note

Microsoft Identity Manager の同期は必要ありません。 ただし、ECMA ホストに ECMA2 コネクタをインポートする前の構築とテストに使用することができます。 ECMA2 コネクタは MIM に固有のものであり、ECMA ホストはプロビジョニング エージェントで使用するために固有のものです。

ファイアウォールの要件

企業ネットワークへの受信接続を開く必要がありません。 プロビジョニング エージェントは、プロビジョニング サービスへのアウトバウンド接続のみを使用します。つまり、受信接続用のファイアウォール ポートを開放する必要はありません。 接続はすべてアウトバウンドであり、セキュリティで保護されたチャネル上で行われるため、境界 (DMZ) ネットワークは不要です。

プロビジョニング エージェントに必要な送信エンドポイントの詳細については、こちらを参照してください。

ECMA Connector Host のアーキテクチャ

ECMA Connector Host には、オンプレミスのプロビジョニングを実現するために使用されるいくつかの領域があります。 下の図は、これらの個々の領域を示す概念図です。 下の表で、各領域について詳細に説明しています。

ECMA connector host

分野 説明
エンドポイント Microsoft Entra プロビジョニング サービスとの通信およびデータ転送を実行します
メモリ内キャッシュ オンプレミスのデータ ソースからインポートしたデータを格納するために使用されます
自動同期 ECMA Connector Host とオンプレミスのデータソース間の非同期データ同期を提供します
ビジネス ロジック ECMA Connector Host のすべてのアクティビティを調整するために使用されます。 自動同期の時刻は、ECMA ホストで構成できます。 これはプロパティ ページにあります。

アンカー属性と識別名について

次の情報は、genericSQL コネクタで特に使用される、アンカー属性と識別名を詳しく説明したものです。

アンカー属性は、変更されないオブジェクトの種類の一意の属性であり、ECMA Connector Host のメモリ内キャッシュ内でそのオブジェクトを表します。

識別名 (DN) は、ディレクトリ階層内のオブジェクトの現在の場所を示すことによって、それを一意に識別する名前です。 または、パーティション内の SQL を使用します。 名前は、アンカー属性をディレクトリ パーティションのルートに連結して形成されます。

Active Directory や LDAP などのための従来の形式の DN では、以下のようなものが想定されます。

CN=Lola Jacobson,CN=Users,DC=contoso,DC=com

ただし、階層型ではなくフラットである SQL などのデータ ソースでは、DN がテーブルのいずれかに既に存在している必要があります。または、ECMA Connector Host に提供する情報から DN を作成する必要があります。

これを実現するには、genericSQL コネクタを構成するときに、チェックボックスで [Autogenerated](自動生成) を有効にします。 DN を自動生成することを選択すると、ECMA ホストによって LDAP 形式 (CN=<anchorvalue>,OBJECT=<type>) で DN が生成されます。 この場合、[接続] ページで [DN is Anchor] (DN はアンカー) がオフになっていることも前提としています。

DN is Anchor unchecked

genericSQL コネクタでは、LDAP 形式を使用して DN を設定することが想定されています。 汎用 SQL コネクタでは、コンポーネント名が "OBJECT=" の LDAP スタイルを使用しています。 これにより、パーティションを使用できるようになります (各オブジェクトの種類はパーティションです)。

ECMA Connector Host は現在、USER オブジェクトの種類のみをサポートしているため、OBJECT=<type> は OBJECT=USER になります。 したがって、anchorvalue が ljacobson のユーザーの DN は次のようになります。

CN=ljacobson,OBJECT=USER

ユーザー作成ワークフロー

  1. Microsoft Entra プロビジョニング サービスは、ユーザーが存在するかどうかを確認するために ECMA Connector Host に対してクエリを実行します。 フィルターとして一致属性が使用されます。 この属性は、Azure portal の [エンタープライズ アプリケーション] -> [オンプレミスのプロビジョニング] -> [プロビジョニング] -> [属性の照合] に定義されています。 照合の優先順位 1 によって示されています。 1 つまたは複数の一致する属性を定義し、優先順位に基づいて優先度を付けることができます。 一致属性を変更する必要がある場合は、これを行うこともできます。 Matching attribute

  2. ECMA Connector Host は GET 要求を受け取り、その内部キャッシュでクエリを実行して、ユーザーが存在し、インポート済みかどうかを確認します。 これは、上記の一致する属性を使用して行われます。 複数の一致する属性を定義した場合、Microsoft Entra プロビジョニング サービスは、属性ごとに GET 要求を送信し、ECMA ホストは、一致を見つけるまでキャッシュをチェックします。

  3. ユーザーが存在しない場合、Microsoft Entra ID ではユーザーを作成する POST 要求が行われます。 ECMA Connector Host は、HTTP 201 を使用して Microsoft Entra ID に応答を返し、ユーザーの ID を提供します。 この ID は、[object types](オブジェクトの種類) ページで定義されているアンカー値から派生します。 このアンカーは、今後および後続の要求のために ECMA Connector Host に対してクエリを実行する際に Microsoft Entra ID によって使用されます。

  4. Microsoft Entra ID でユーザーに変更が加えられた場合、Microsoft Entra ID は、手順 1 の一致する属性ではなく、前の手順のアンカーを使用してユーザーを取得する GET 要求を行います。 これにより、たとえば、Microsoft Entra ID とアプリのユーザー間のリンクを壊さずに UPN を変更することができます。

エージェントのベスト プラクティス

  • Workday/SuccessFactors/Microsoft Entra Connect のクラウド同期と共に、オンプレミスのプロビジョニング機能に同じエージェントを使用することは、現在サポートされていません。 Microsoft では、他のプロビジョニング シナリオと同じエージェントでオンプレミスのプロビジョニングをサポートするために積極的に取り組んでいます。
    • エージェントと Azure との間のアウトバウンド TLS 通信に対しては、どのような形式のインライン検査も行わないでください。 この種のインライン検査では、通信フローが低下します。
  • エージェントは Azure とアプリケーションの両方と通信を行う必要があるため、エージェントの配置場所はこの 2 つの接続の待ち時間に影響します。 各ネットワーク接続を最適化することによって、エンド ツー エンドのトラフィック待機時間を最小化することができます。 各接続は次の方法で最適化できます。
    • ホップの両端間の距離を短縮します。
    • 経由する適切なネットワークを選択します。 たとえば、パブリック インターネットではなく、プライベート ネットワークを経由した方が、専用リンクのため高速である可能性があります。
  • エージェントと ECMA ホストは通信に証明書を使用します。 ECMA ホストによって生成される自己署名証明書は、テスト目的でのみ使用する必要があります。 自己署名証明書は既定で 2 年で期限切れになり、取り消すことはできません。 Microsoft では、運用環境のユース ケースに対して信頼された CA の証明書を使用することをお勧めします。

プロビジョニング エージェントに関する質問

ここでは、いくつかの一般的な質問に回答します。

プロビジョニング エージェントのバージョンを確認する方法を教えてください。

  1. プロビジョニング エージェントがインストールされている Windows サーバーにサインインします。
  2. [コントロール パネル]>[プログラムのアンインストールまたは変更] に移動します。
  3. Microsoft Entra Connect プロビジョニング エージェントのエントリに対応するバージョンを探します。

Microsoft Entra Connect や Microsoft Identity Manager を実行しているのと同じサーバーにプロビジョニング エージェントをインストールできますか?

はい。 Microsoft Entra Connect や Microsoft Identity Manager を実行しているのと同じサーバーにプロビジョニング エージェントをインストールすることができます。ただし、必須ではありません。

送信 HTTP 通信にプロキシ サーバーを使用するようにプロビジョニング エージェントを構成するにはどうすればよいですか?

プロビジョニング エージェントは送信プロキシの使用をサポートしています。 構成するには、エージェントの構成ファイル C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config を編集します。ファイルの末尾近くにある </configuration> の終了タグの直前に次の行を追加します。 [proxy-server] 変数と [proxy-port] 変数をお使いのプロキシ サーバー名とポート値に置き換えてください。

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

プロビジョニング エージェントが Microsoft Entra テナントと通信できること、ファイアウォールがエージェントに必要なポートをブロックしていないことを確認するにはどうすればよいですか?

必要なポートがすべて開いているかどうかを確認することもできます。

プロビジョニング エージェントをアンインストールするにはどうすればよいですか?

  1. プロビジョニング エージェントがインストールされている Windows サーバーにサインインします。
  2. [コントロール パネル]>[プログラムのアンインストールまたは変更] に移動します。
  3. 次のプログラムをアンインストールします。
    • Microsoft Entra Connect プロビジョニング エージェント
    • Microsoft Entra Connect Agent Updater
    • Microsoft Entra Connect プロビジョニング エージェント パッケージ

プロビジョニング エージェントの履歴

この記事では、これまでにリリースされた Microsoft Entra Connect プロビジョニング エージェントのバージョンと機能を一覧表示します。 Microsoft Entra チームは、新機能を追加してプロビジョニング エージェントを定期的に更新しています。 オンプレミスのプロビジョニングと、クラウド同期/人事主導のプロビジョニングに同じエージェントを使用しないでください。

Microsoft では、エージェントの最新バージョンと 1 つ前のバージョンを直接サポートしています。

オンプレミスのアプリのプロビジョニングはプロビジョニング エージェントにまとめられており、ポータルから使用できます。 プロビジョニング エージェントのインストールに関する記事を参照してください。

1.1.892.0

2022 年 5 月 20 日 - ダウンロード開始

修正された問題

  • 整数属性への変更のエクスポートのサポートが追加されました。これは、汎用 LDAP コネクタを使用するお客様にメリットをもたらします。

1.1.846.0

2022 年 4 月 11 日 - ダウンロード開始

修正する問題

  • ユーザーを AD LDS にプロビジョニングする際に、汎用 LDAP コネクタ用のアンカーとして ObjectGUID のサポートが追加されました。

次のステップ