チュートリアル:Infor CloudSuite を構成し、自動ユーザー プロビジョニングに対応させる

このチュートリアルの目的は、Azure Active Directory (Azure AD) が自動的にユーザーまたはグループを Infor CloudSuite にプロビジョニングまたは Infor CloudSuite からプロビジョニング解除するように構成するために、Infor CloudSuite と Azure AD で実行される手順を示すことです。

注意

このチュートリアルでは、Azure AD ユーザー プロビジョニング サービスの上にビルドされるコネクタについて説明します。 このサービスが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Azure Active Directory による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。

現在、このコネクタはパブリック プレビュー段階にあります。 プレビュー機能を使用するための一般的な Microsoft Azure 使用条件の詳細については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

前提条件

このチュートリアルで説明するシナリオでは、次の前提条件目があることを前提としています。

Infor CloudSuite へのユーザーの割り当て

Azure Active Directory では、選択されたアプリへのアクセスが付与されるユーザーを決定する際に "割り当て" という概念が使用されます。 自動ユーザー プロビジョニングのコンテキストでは、Azure AD 内のアプリケーションに割り当て済みのユーザーとグループのみが同期されます。

自動ユーザー プロビジョニングを構成して有効にする前に、Infor CloudSuite へのアクセスが必要な Azure AD のユーザーやグループを決定しておく必要があります。 決定し終えたら、次の手順に従って、これらのユーザーやグループを Infor CloudSuite に割り当てることができます。

ユーザーを Infor CloudSuite に割り当てるときの重要なヒント

  • 単一の Azure AD ユーザーを Infor CloudSuite に割り当てて、自動ユーザー プロビジョニングの構成をテストすることをお勧めします。 後でユーザーやグループを追加で割り当てられます。

  • Infor CloudSuite にユーザーを割り当てるときは、有効なアプリケーション固有ロール (使用可能な場合) を割り当てダイアログで選択する必要があります。 既定のアクセス ロールのユーザーは、プロビジョニングから除外されます。

プロビジョニングのために Infor CloudSuite を設定する

  1. Infor CloudSuite 管理コンソールにサインインします。 ユーザー アイコンをクリックし、ユーザー管理に移動します。

    Infor CloudSuite 管理コンソール

  2. 画面の左上隅にあるメニュー アイコンをクリックします。 [Manage](管理) をクリックします。

    Infor CloudSuite SCIM の追加

  3. [SCIM Accounts](SCIM アカウント) に移動します。

    Infor CloudSuite SCIM アカウント

  4. プラス記号のアイコンをクリックして、管理者ユーザーを追加します。 [SCIM Password](SCIM パスワード) を入力し、 [Confirm Password](パスワードの確認) に同じパスワードを入力します。 フォルダー アイコンをクリックしてパスワードを保存します。 管理者ユーザーに対して生成された [User Identifier](ユーザー ID) が表示されます。

    Infor CloudSuite 管理者ユーザー

    Infor CloudSuite パスワード

    強調表示されたテーブルの行が表示されている Infor CloudSuite 管理コンソールのスクリーンショット。この行には、ユーザー ID、パスワード、およびタイムスタンプが含まれています。

  5. ベアラー トークンを生成するには、 [User Identifier](ユーザー ID)[SCIM Password](SCIM パスワード) をコピーします。 コロンで区切って notepad++ に貼り付けます。 [Plugins] (プラグイン) > MIME Tools (MIME ツール) > Basic64 Encode (Basic64 エンコード) の順に選択して文字列値をエンコードします。

    Notepad++ ドキュメントのスクリーンショット。[Plugins]\(プラグイン\) メニューの [MIME tools]\(MIME ツール\) が強調表示されています。[MIME tools]\(MIME ツール\) メニューの [Base64 encode]\(Base64 エンコード\) が強調表示されています。

    Notepad++ の代わりに PowerShell を使用してベアラー トークンを生成するには、次のコマンドを使用します。

    $Identifier = "<User Identifier>"
     $SCIMPassword = "<SCIM Password>"
     $bytes = [System.Text.Encoding]::UTF8.GetBytes($($Identifier):$($SCIMPassword))
     [Convert]::ToBase64String($bytes)
    
  6. ベアラー トークンをコピーします。 この値を、Azure portal で Infor CloudSuite アプリケーションの [プロビジョニング] タブ内の [シークレット トークン] フィールドに入力します。

Azure AD での自動ユーザー プロビジョニング用に Infor CloudSuite を構成する前に、Azure AD アプリケーション ギャラリーから Infor CloudSuite をマネージド SaaS アプリケーションの一覧に追加する必要があります。

Azure AD アプリケーション ギャラリーから Infor CloudSuite を追加するには、次の手順を行います。

  1. Azure portal の左側のナビゲーション パネルで、 [Azure Active Directory] を選択します。

    Azure Active Directory のボタン

  2. [エンタープライズ アプリケーション] に移動し、 [すべてのアプリケーション] を選択します。

    [エンタープライズ アプリケーション] ブレード

  3. 新しいアプリケーションを追加するには、ウィンドウの上部にある [新しいアプリケーション] ボタンを選びます。

    [新しいアプリケーション] ボタン

  4. 検索ボックスに「Infor CloudSuite」と入力し、結果ウィンドウで [Infor CloudSuite] を選択してから、 [追加] ボタンをクリックしてアプリケーションを追加します。

    結果リストの Infor CloudSuite

Infor CloudSuite への自動ユーザー プロビジョニングの構成

このセクションでは、Azure AD プロビジョニング サービスを構成し、Azure AD でのユーザーやグループの割り当てに基づいて Infor CloudSuite のユーザーやグループを作成、更新、無効化する手順について説明します。

ヒント

Infor CloudSuite で SAML ベースのシングル サインオンを有効にすることもできます。これを行うには、Infor CloudSuite シングル サインオンのチュートリアルで説明されている手順に従ってください。 シングル サインオンは自動ユーザー プロビジョニングとは別に構成できますが、これらの 2 つの機能は相補的な関係にあります。

注意

Infor CloudSuite の SCIM エンドポイントの詳細については、こちらを参照してください。

Azure AD で Infor CloudSuite の自動ユーザー プロビジョニングを構成するには、次の手順を行います。

  1. Azure portal にサインインします。 [エンタープライズ アプリケーション] を選択し、 [すべてのアプリケーション] を選択します。

    [エンタープライズ アプリケーション] ブレード

  2. アプリケーションの一覧で [Infor CloudSuite] を選択します。

    アプリケーション一覧の Infor CloudSuite のリンク

  3. [プロビジョニング] タブを選択します。

    [プロビジョニング] オプションが強調表示された [管理] オプションのスクリーンショット。

  4. [プロビジョニング モード][自動] に設定します。

    [自動] オプションが強調表示された [プロビジョニング モード] ドロップダウン リストのスクリーンショット。

  5. [管理者資格情報] セクションの [テナントの URL] に「https://mingle-t20b-scim.mingle.awsdev.infor.com/INFORSTS_TST/v2/scim」と入力します。 [シークレット トークン] に、先ほど取得したベアラー トークンの値を入力します。 [テスト接続] をクリックして、Azure AD から Infor CloudSuite への接続を確保します。 接続できない場合は、使用中の Infor CloudSuite アカウントに管理者アクセス許可があることを確認してから、もう一度試します。

    テナント URL + トークン

  6. [通知用メール] フィールドに、プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを入力して、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。

    通知用メール

  7. [保存] をクリックします。

  8. [マッピング] セクションで、 [Synchronize Azure Active Directory Users to Infor CloudSuite](Azure Active Directory ユーザーを Infor CloudSuite に同期する) を選択します。

    Infor CloudSuite ユーザー マッピング

  9. [属性マッピング] セクションで、Azure AD から Infor CloudSuite に同期されるユーザー属性を確認します。 [Matching](照合) プロパティとして選択されている属性は、更新処理で Infor CloudSuite のユーザー アカウントとの照合に使用されることに注意してください。 [保存] ボタンをクリックして変更をコミットします。

    Infor CloudSuite ユーザー属性

  10. [マッピング] セクションで、 [Synchronize Azure Active Directory Groups to Infor CloudSuite](Azure Active Directory グループを Infor CloudSuite に同期する) を選択します。

    Infor CloudSuite グループ マッピング

  11. [属性マッピング] セクションで、Azure AD から Infor CloudSuite に同期されるグループ属性を確認します。 [Matching](照合) プロパティとして選択されている属性は、更新処理で Infor CloudSuite のグループとの照合に使用されることに注意してください。 [保存] ボタンをクリックして変更をコミットします。

    Infor CloudSuite グループ属性

  12. スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの次の手順を参照してください。

  13. Infor CloudSuite に対して Azure AD プロビジョニング サービスを有効にするには、 [設定] セクションで [プロビジョニングの状態][オン] に変更します。

    プロビジョニングの状態を [オン] に切り替える

  14. [設定] セクションの [スコープ] で目的の値を選択して、Infor CloudSuite にプロビジョニングするユーザーやグループを定義します。

    プロビジョニングのスコープ

  15. プロビジョニングの準備ができたら、 [保存] をクリックします。

    プロビジョニング構成の保存

これにより、 [設定] セクションの [スコープ] で 定義したユーザーやグループの初期同期が開始されます。 初期同期は後続の同期よりも実行に時間がかかります。後続の同期は、Azure AD のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。 [同期の詳細] セクションを使用すると、進行状況を監視できるほか、リンクをクリックしてプロビジョニング アクティビティ レポートを取得できます。このレポートには、Azure AD プロビジョニング サービスによって Infor CloudSuite に対して実行されたすべてのアクションが記載されています。

Azure AD プロビジョニング ログの読み取りの詳細については、「自動ユーザー アカウント プロビジョニングについてのレポート」をご覧ください。

その他のリソース

次のステップ