API 駆動型インバウンド プロビジョニングの概念

  • [アーティクル]

このドキュメントでは、Microsoft Entra API 駆動型のインバウンド ユーザー プロビジョニングの概念的概要についてご説明します。

はじめに

今日の企業は、様々な権威ある記録システムを持っています。 エンドツーエンドの ID ライフサイクルを確立し、セキュリティ ポスチャを強化し、規制に準拠し続けるためには、Microsoft Entra ID の ID データを、これらのレコード システムで管理されている従業員データと同期する必要があります。 レコード システムとは、人事アプリ、給与計算アプリ、スプレッドシート、またはオンプレミスまたはクラウドでホストされているデータベース内の SQL テーブルです。

API 駆動型受信プロビジョニングにより、Microsoft Entra プロビジョニング サービスで任意のレコード システムとの統合がサポートされるようになりました。 お客様やパートナーは、任意の自動化ツールを使用して従業員データをレコード システムから取得し、Microsoft Entra ID に取り込むことができます。 IT 管理者は、属性マッピングを使用してデータを処理および変換する方法を完全に制御できます。 Microsoft Entra ID で従業員データが利用できるようになると、IT 管理者はライフサイクル ワークフローを使用して、適切な就職、異動、退職のビジネス プロセスを構成できます。

サポートされるシナリオ

いくつかのインバウンド ユーザー プロビジョニング シナリオは、API 駆動型のインバウンド プロビジョニングを使用して有効化されています。 この図は、最も一般的なシナリオを示しています。

API ワークフローのシナリオを示す図。

シナリオ 1: IT チームが任意の自動化ツールを使用して人事データ抽出をインポートできるようにする

フラット ファイル、CSV ファイル、SQL ステージング テーブルは、エンタープライズ統合シナリオでよく使用されます。 従業員、請負業者、ベンダーの情報は、これらの形式のいずれかに定期的にエクスポートされ、自動化ツールが使用してこのデータをエンタープライズ ID ディレクトリと同期します。 API 主導のインバウンド プロビジョニングを使用すると、IT チームは任意の自動化ツール (PowerShell スクリプトや Azure Logic Apps など) を使用して、この統合を最新化および簡略化できます。

シナリオ 2: ISV を有効にして Microsoft Entra ID との直接統合を構築する

API 駆動型のインバウンド プロビジョニングを使用すると、HR ISV はネイティブ同期エクスペリエンスを送信して、HR システムでの変更が Microsoft Entra ID および接続されたオンプレミス Active Directoryドメインに自動的に流れ込むようににすることができます。 たとえば、人事アプリや学生情報システム アプリは、トランザクションが完了するとすぐ、または 1 日の終わりの一括更新として Microsoft Entra ID にデータを送信できます。

シナリオ 3: システム インテグレーターがレコード システムに対してより多くのコネクタを構築できるようにする

パートナーは、カスタム HR コネクタを構築することで、レコード システムから Microsoft Entra ID へのデータ フローに関するさまざまな統合要件を満たすことができます。

上記のすべてのシナリオにおいて統合が簡素化されます。これは、Microsoft Entra プロビジョニング サービスが、ID プロファイル比較の実行、IT 管理者が設定したスコープ ロジックへのデータ同期の制限、Microsoft Entra 管理センターで管理されるルールベースの属性フローと変換の実行を引き継ぐためです。

エンド ツー エンド フロー

インバウンド プロビジョニングのエンド ツー エンド ワークフローの図。

ワークフローの手順

  1. IT 管理では、Microsoft Entra Enterprise App ギャラリーから API 駆動型インバウンド ユーザー プロビジョニング アプリを構成します。
  2. IT 管理は、API 開発者/パートナー/システム インテグレーターにアクセス許可を付与し、エンドポイント アクセスの詳細を提供します。
  3. API 開発者/パートナー/システム インテグレーターは、信頼できる ID データを Microsoft Entra ID に送信する API クライアントを構築します。
  4. API クライアントは、信頼できるソースから ID データを読み取ります。
  5. API クライアントは、プロビジョニング アプリに関係づけられる /bulkUpload API エンドポイントのプロビジョニングを求める POST 要求を送信します。

    注意

    API クライアントは、呼び出す操作 (作成、更新、有効化、無効化) を決定するために、ソース属性とターゲット属性値の比較を実行する必要はありません。 これは、プロビジョニング サービスによって自動的に処理されます。 API クライアントは、ソース システムから読み取られた ID データをSCIM スキーマ コンストラクトを使用して一括要求としてパッケージ化してアップロードするだけです。

  6. 成功した場合は、Accepted 202 Status が返されます。
  7. Microsoft Entra プロビジョニング サービスは、受信したデータを処理し、属性マッピング規則を適用して、ユーザー プロビジョニングを完了します。
  8. 構成されるプロビジョニング アプリに応じて、ユーザーはオンプレミスの Active Directory (ハイブリッド ユーザーの場合) または Microsoft Entra ID (クラウド専用ユーザーの場合) のいずれかにプロビジョニングされます。
  9. 次に、API クライアントはプロビジョニング ログ API エンドポイントに対して、送信された各レコードの状態を照会します。
  10. レコードの処理が失敗した場合、API クライアントはエラーの詳細をチェックし、失敗した操作に対応するレコードを次の一括要求に含めることができます (手順 5)。
  11. IT 管理は、いつでもプロビジョニング ログでプロビジョニング ジョブの状態をチェックし、イベントを表示できます。

API 駆動型のインバウンド ユーザー プロビジョニングの主な機能

  • 有効な OAuth トークンを使用してアクセスする "非同期" の Microsoft Graph プロビジョニング /bulkUpload API エンドポイントを公開するプロビジョニング アプリとして利用可能です。
  • テナント管理者は、このプロビジョニング アプリとやり取りする API クライアントに Graph アクセス許可 SynchronizationData-User.Upload を付与する必要があります。
  • Graph API エンドポイントは、SCIM スキーマ コンストラクトを使用して有効な一括要求ペイロードを受け入れます。
  • SCIM スキーマ拡張機能を使用すると、一括要求ペイロード内の任意の属性を送信できます。
  • インバウンド プロビジョニング API のレート制限は、1 秒あたり 40 回の一括アップロード要求です。 各一括要求には最大 50 個のユーザー レコードを含めることができます。これにより、1 秒あたり 2,000 レコードのアップロード レートがサポートされます。
  • 各 API エンドポイントは、Microsoft Entra ID の特定のプロビジョニング アプリに関連付けられています。 データ ソースごとにプロビジョニング アプリを作成することで、複数のデータ ソースを統合できます。
  • 受信される一括要求ペイロードは、ほぼリアルタイムで処理されます。
  • 管理者は、プロビジョニング ログを表示させてプロビジョニングの進行状況をチェックできます。
  • API クライアントは、プロビジョニング ログ API のクエリを実行して進行状況を追跡できます。

ライセンス要件

この機能は、Microsoft Entra ID P1、P2、Microsoft Entra ID ガバナンスのライセンスで使用できます。 要件に適したライセンスを見つけるには、「Microsoft Entra ID ガバナンス ライセンスの基礎」をご覧ください。

API 使用に関するガイダンス

/bulkUpload API エンドポイントは、Entra ID でユーザーを管理できる方法の数を拡張します。 /bulkUpload API エンドポイントが統合シナリオに適しているかどうかを判断するには、この表を参照して、他の API ベースの統合オプションと比較してください。

ユース ケース シナリオから API へのマッピング ユーザーの作成 API HR 受信一括 API ユーザー招待 API 直接割り当て API
ID の作成シナリオが...の場合 HR ソースのワーカーに関連付けられていないユーザーに対する Entra ID でのアドホック ユーザーの作成 権限のある人事ソースから従業員レコードを調達し、それらの従業員に Entra ID またはオンプレミスの Active Directory の "メンバー" アカウントを持たせる必要がある ゲストが一意のアクセス権を持つ共有目的で、Entra ID でのアドホック ゲスト ユーザーの作成 既存のユーザーに対するアクセス割り当て、および Entra ID でのゲスト作成 (プレビュー) により、新しいゲストに標準化されたアクセス権を付与する
...API を使用... ユーザーの作成 bulkUpload を実行します 招待の作成 accessPackageAssignmentRequest の作成
結果のユーザーはまず...に作成されます Entra ID オンプレミスの Active Directory または Entra ID Entra ID Entra ID
結果のユーザーは...に対して認証を行います 指定したパスワードを含む Entra ID Entra ライフサイクル ワークフローによって提供される一時アクセス パスのある Entra ID のオンプレミス Active Directory ホーム テナントまたはその他の ID プロバイダー ホーム テナントまたはその他の ID プロバイダー
ユーザーに対する後続の更新は、以下を経由して行えます Graph API または Entra ポータル Graph API または HR 受信一括 API または Entra ポータル Graph API または Entra ポータル Graph API または Entra ポータル
雇用開始時のユーザーのライフサイクルは、...によって決定されます 手動プロセス employeeHireDate 属性に基づいてトリガーされる Entra オンボード ライフサイクル ワークフロー エンタイトルメント管理 エンタイトルメント管理アクセス パケットを使用した自動割り当て
雇用終了時のユーザーのライフサイクルは、...によって決定されます 手動プロセス employeeLeaveDateTime 属性に基づいてトリガーされる Entra オフボード ライフサイクル ワークフロー アクセス レビュー ユーザーが最後のアクセス パッケージ割り当てを失った時のエンタイトルメント管理は削除されます
# 学習の目的 ガイダンス
1. インバウンド プロビジョニング API 仕様の詳細を学習したい。 /bulkUpload API 仕様のドキュメントを参照してください。
2. API 駆動型プロビジョニングの概念、シナリオ、制限事項についてより理解を深めたい。 API 駆動インバウンド プロビジョニングに関するよくあるご質問」を参照してください。
3. "管理者ユーザー" として、インバウンド プロビジョニング API を迅速にテストしたい。 * API 駆動型インバウンド プロビジョニング アプリを作成する
* Graph エクスプローラーを使用して API をテストする
4. サービス アカウントまたはマネージド ID を使用して、インバウンド プロビジョニング API を迅速にテストしたい。 * API 駆動型インバウンド プロビジョニング アプリを作成する
* API のアクセス許可を付与する
* cURL または Postman を使用して API をテストする
5. API 駆動型プロビジョニング アプリを拡張して、より多くのカスタム属性を処理したい。 チュートリアル「API 主導のプロビジョニングを拡張してカスタム属性を同期する」を参照してください
6. レコードのシステムからインバウンド プロビジョニング API エンドポイントへのデータアップロードを自動化したい。 以下のチュートリアルを参照してください
* PowerShell のクイック スタート
* Azure Logic Apps のクイック スタート
7. インバウンド プロビジョニング API の問題のトラブルシューティングを行いたい トラブルシューティング ガイド」を参照してください。

外部学習リソース

パートナーと Microsoft MVP によって作成された次のコンテンツでは、さまざまな統合シナリオで API 駆動型プロビジョニングをデプロイおよび構成する方法に関する追加のガイダンスが提供されています。

次のステップ