Azure Active Directory でのアプリのプロビジョニングとは

Azure Active Directory (Azure AD) でアプリのプロビジョニングという用語は、アプリケーションのユーザーの ID とロールを自動的に作成することを意味します。

Azure AD でのアプリケーションのプロビジョニングとは、ユーザーがアクセスする必要のあるアプリケーションに、ユーザーの ID とロールを自動的に作成することを意味します。 自動プロビジョニングには、ユーザー ID の作成に加えて、状態または役割が変化したときのユーザー ID のメンテナンスおよび削除が含まれます。 一般的なシナリオには、Dropbox、Salesforce、ServiceNow、その他多くの SaaS アプリケーションへの Azure AD ユーザーのプロビジョニングが含まれます。

また、Azure AD では、ファイアウォールを開くことなく、オンプレミスまたは仮想マシンでホストされているアプリケーションへのユーザーのプロビジョニングがサポートされています。 アプリケーションで SCIM をサポートする必要があります。 または、レガシ アプリケーションに接続するために SCIM ゲートウェイを構築する必要があります。 その場合、Azure AD プロビジョニング エージェントを使用してアプリケーションに直接接続し、プロビジョニングとプロビジョニング解除を自動化できます。 SCIM をサポートしておらず、LDAP ユーザー ストアまたは SQL データベースに依存するレガシ アプリケーションがある場合、Azure AD ではそれらのアプリケーションもサポートできます。

アプリのプロビジョニングを使用すると、次のことができます。

• プロビジョニングを自動化する: 新しいユーザーがチームまたは組織に加わるときに、適切なシステムで新しいアカウントを自動的に作成できます。
• プロビジョニング解除を自動化する: ユーザーがチームまたは組織を離れるときに、適切なシステムでアカウントを自動的に非アクティブ化できます。
• システム間でデータを同期する: ディレクトリまたは人事システムでの変更に基づいて、アプリとシステムの ID を最新の状態に維持します。
• グループをプロビジョニングする: グループをサポートするアプリケーションにグループをプロビジョニングします。
• アクセスの管理: アプリケーションでプロビジョニングされたユーザーを監視および監査します。
• ブラウン フィールドのシナリオでシームレスにデプロイする: ターゲット システムにユーザーが既に存在する場合でも、システム間で既存の ID を一致させ、簡単に統合できるようにします。
• リッチなカスタマイズを使用する: ソース システムからターゲット システムに送られる必要があるユーザー データが定義された、カスタマイズ可能な属性マッピングを利用します。
• 重大なイベントに関するアラートを受け取る: プロビジョニング サービスで重大なイベントに関するアラートが提供され、ビジネス ニーズに合わせてカスタム アラートを定義できる Log Analytics の統合が可能になります。

SCIM とは

プロビジョニングとプロビジョニング解除の自動化を助けるため、アプリでは独自のユーザー API とグループ API を公開します。 すべてのアプリが同じアクションを実行しようとするため、複数のアプリでのユーザー管理は困難です。 たとえば、ユーザーの作成または更新、グループへのユーザーの追加、ユーザーのプロビジョニング解除などです。 多くの場合、開発者がこれらのアクションを実装する方法は若干異なります。 使用するエンドポイント パスが異なったり、ユーザー情報を指定する方法が異なったり、情報の各要素を表すスキーマが異なったりします。

これらの課題に対処するため、クロスドメイン ID 管理システム (SCIM) 仕様では、アプリへの、アプリからの、およびアプリ内での移動に対し、共通のユーザー スキーマが提供されています。 SCIM は、プロビジョニングに対する事実上の標準になりつつあり、SAML (Security Assertions Markup Language) や OpenID Connect (OIDC) などのフェデレーション標準と一緒に使用すると、エンドツーエンドの標準ベースのアクセス管理用ソリューションが管理者に提供されます。

アプリケーションに対するユーザーとグループのプロビジョニングおよびプロビジョニング解除を自動化するための SCIM エンドポイントの開発について詳しくは、「SCIM エンドポイントの構築とユーザー プロビジョニングの構成」をご覧ください。 多くのアプリケーションは、Azure Active Directory と直接統合されます。 例として、Slack、Azure Databricks、Snowflake があります。 これらのアプリについては、開発者ドキュメントをスキップし、「SaaS アプリケーションと Azure Active Directory の統合に関するチュートリアル」に提供されているチュートリアルを使用してください。

手動プロビジョニングと自動プロビジョニングの比較

Azure AD ギャラリーのアプリケーションは、次の 2 つのプロビジョニング モードのいずれかをサポートしています。

• 手動プロビジョニングとは、アプリの自動 Azure AD プロビジョニング コネクタがまだないことを意味します。 それらは手動で作成する必要があります。 たとえば、アプリの管理ポータルにユーザーを直接追加したり、ユーザー アカウントの詳細を含むスプレッドシートをアップロードしたりすることでこれを行います。 アプリから提供されるドキュメントを確認するか、アプリの開発者に問い合わせて、どのようなメカニズムが使用できるか判断してください。
• 自動とは、このアプリケーション用の Azure AD プロビジョニング コネクタを使用できることを意味します。 そのアプリケーションのプロビジョニングの設定に固有の設定チュートリアルに従ってください。 「SaaS アプリケーションと Azure Active Directory の統合に関するチュートリアル」でアプリのチュートリアルをご覧ください。

アプリケーションでサポートされているプロビジョニング モードは、アプリケーションをエンタープライズ アプリに追加した後の [プロビジョニング] タブにも表示されます。

自動プロビジョニングの利点

最新の組織で使用されるアプリケーションの数は増え続けています。 IT 管理者は、大規模なアクセス管理を管理する必要があります。 シングル サインオン (SSO) のために SAML や OIDC などの標準を使用しますが、アクセスのためにはユーザーをアプリにプロビジョニングする必要もあります。 プロビジョニングとは、すべてのユーザー アカウントを手動で作成したり、毎週 CSV ファイルをアップロードしたりすることを意味すると思われることもあります。 これらのプロセスは時間がかかり、コストがかかり、エラーが発生しやすくなります。 プロセスを合理化するために、SAML Just-In-Time (JIT) を使用してプロビジョニングを自動化します。 ユーザーが組織から退職するか、役割の変更のために特定のアプリにアクセスする必要がなくなるときに、同じプロセスを使用してプロビジョニングを解除します。

自動プロビジョニングを使用する一般的な動機には、次のようなものがあります。

• プロビジョニング プロセスの効率と正確さを最大限に高める。
• 独自に開発したプロビジョニング ソリューションやプロビジョニング スクリプトのホスティングとメンテナンスに伴うコストを抑える。
• ユーザーが組織を離れるときに、主要な SaaS アプリからその ID をすぐに削除することで、組織のセキュリティを高める。
• 多くのユーザーを特定の SaaS アプリまたは SaaS システムに簡単にインポートする。
• アプリにサインインできるプロビジョニング対象ユーザーを、1 つのポリシー セットで決定する。

Azure AD のユーザー プロビジョニングは、これらの課題に対応するのに役立ちます。 お客様による Azure AD ユーザー プロビジョニングの使用方法について詳しくは、ASOS のケース スタディをご覧ください。 次のビデオでは、Azure AD でのユーザー プロビジョニングの概要について説明します。

Azure AD の自動ユーザー プロビジョニングで利用できるアプリケーションとシステム

Azure AD は、一般的な多くの SaaS アプリや人事管理システムとの事前統合をサポートしているほか、SCIM 2.0 標準の特定の領域を実装するアプリも広くサポートしています。

• 事前に統合されたアプリケーション (ギャラリー SaaS アプリ): Azure AD で事前統合プロビジョニング コネクタがサポートされているすべてのアプリケーションについては、「SaaS アプリケーションと Azure Active Directory との統合に関するチュートリアル」を参照してください。 ギャラリーに一覧表示されている事前統合アプリケーションでは、通常、プロビジョニングに SCIM 2.0 ベースのユーザー管理 API が使用されています。

  

  プロビジョニングのために新しいアプリケーションを要求するには、「Azure Active Directory アプリケーション ギャラリーでのアプリケーションの公開の要求を送信する」を参照してください。 ユーザー プロビジョニング要求の場合、アプリケーションには SCIM 準拠のエンドポイントが必要です。 アプリをプラットフォームに迅速にオンボードできるように、アプリケーションのベンダーに SCIM 標準に準拠することを要求してください。

• SCIM 2.0 をサポートするアプリケーション: SCIM 2.0 ベースのユーザー管理 API を実装するアプリケーションを汎用的に接続する方法については、「SCIM エンドポイントの構築とユーザー プロビジョニングの構成」を参照してください。

アプリケーションへの自動プロビジョニングを設定する方法

ギャラリーに一覧表示されている事前統合アプリケーションについては、既存のステップ バイ ステップ ガイダンスを使用して自動プロビジョニングを設定します。「SaaS アプリケーションと Azure Active Directory の統合に関するチュートリアル」を参照してください。 次のビデオでは、SalesForce の自動ユーザー プロビジョニングの設定方法が示されます。

SCIM 2.0 をサポートする他のアプリケーションについては、「SCIM エンドポイントの構築とユーザー プロビジョニングの構成」の手順に従ってください。

次の手順

• SaaS アプリを統合する方法に関するチュートリアルの一覧
• ユーザー プロビジョニング用の属性マッピングのカスタマイズ
• ユーザー プロビジョニング用のフィルターのスコープ