次の方法で共有

SCIM 対応アプリへの Microsoft Entra オンプレミス アプリケーション プロビジョニング

Microsoft Entra プロビジョニング サービスでは、ユーザーをクラウドまたはオンプレミスのアプリケーションに自動的にプロビジョニングするために使用できる SCIM 2.0 クライアントがサポートされています。 この記事では、Microsoft Entra プロビジョニング サービスを使用して、SCIM が有効になっているオンプレミス アプリケーションにユーザーをプロビジョニングする方法について説明します。 SQL をデータ ストアとして使用する SCIM 以外のオンプレミス アプリケーションにユーザーをプロビジョニングする場合は、 Microsoft Entra ECMA Connector Host Generic SQL Connector チュートリアルを参照してください。 DropBox や Atlassian などのクラウド アプリにユーザーをプロビジョニングする場合は、アプリ固有のチュートリアルを確認 してください

SCIM アーキテクチャを示す図。

[前提条件]

  • Microsoft Entra ID P1 または Premium P2 (または EMS E3 または E5) を持つ Microsoft Entra テナント。 この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 要件に適したライセンスを見つけるには、「 Microsoft Entra ID の一般公開機能を比較する」を参照してください。
  • エージェントをインストールするための管理者ロール。 このタスクは 1 回限りの作業であり、少なくともハイブリッド ID 管理者である Azure アカウントである必要があります。
  • 管理者は、少なくともアプリケーション管理者、クラウド アプリケーション管理者、またはアクセス許可を持つカスタム ロールである必要があります。
  • プロビジョニング エージェントをホストするための RAM が少なくとも 3 GB のコンピューター。 コンピューターには Windows Server 2016 以降のバージョンの Windows Server が必要であり、ターゲット アプリケーションへの接続と、login.microsoftonline.com、他の Microsoft Online Services、および Azure ドメインへの送信接続が必要です。 たとえば、Azure IaaS またはプロキシの背後でホストされている Windows Server 2016 仮想マシンがあります。
  • SCIM 実装が Microsoft Entra SCIM 要件を満たしていることを確認します。 Microsoft Entra ID には、開発者が SCIM 実装のブートストラップに使用できるオープンソース の参照コード が用意されています。 「チュートリアル: Microsoft Entra ID でサンプル SCIM エンドポイントを開発する」で説明されています。
  • /schemas エンドポイントをサポートして、Azure portal で必要な構成を減らします。

Microsoft Entra Connect プロビジョニング エージェントをインストールして構成する

  1. Microsoft Entra 管理センターに、少なくともアプリケーション管理者としてサインインします。
  2. [Entra ID]>[エンタープライズ アプリ] に移動します。
  3. オンプレミスの SCIM アプリ アプリケーションを検索し、アプリに名前を付け、[作成] を選択してテナントに追加します。
  4. メニューから、アプリケーションの [プロビジョニング ] ページに移動します。
  5. [ 作業の開始] を選択します
  6. [ プロビジョニング ] ページで、モードを [自動] に変更します。

[自動] を選択したスクリーンショット。

  1. [ オンプレミス接続] で、[ ダウンロードとインストール] を選択し、[ 同意する] を選択してダウンロードします

エージェントのダウンロード場所のスクリーンショット。

  1. ポータルを終了し、プロビジョニング エージェント インストーラーを開き、サービス条件に同意して、[インストール] を選択 します
  2. Microsoft Entra プロビジョニング エージェント構成ウィザードを待ってから、[ 次へ] を選択します。
  3. [ 拡張機能の選択 ] ステップで、[ オンプレミス のアプリケーション プロビジョニング ] を選択し、[ 次へ] を選択します。
  4. プロビジョニング エージェントは、オペレーティング システムの Web ブラウザーを使用して、Microsoft Entra ID および組織の ID プロバイダーに対して認証するためのポップアップ ウィンドウを表示します。 Windows Server のブラウザーとして Internet Explorer を使用している場合は、JavaScript を正しく実行できるように、ブラウザーの信頼済みサイト一覧に Microsoft Web サイトを追加することが必要になる場合があります。
  5. 承認を求められたら、Microsoft Entra 管理者の資格情報を入力します。 ユーザーには、少なくとも ハイブリッド ID 管理者ロールが 必要です。
  6. [ 確認] を選択して設定を確認します。 インストールが成功したら、[ 終了] を選択し、プロビジョニング エージェント パッケージ インストーラーを閉じてもかまいません。

プロビジョニング エージェントを使用して接続を構成する

  1. Microsoft Entra 管理センターに、少なくともアプリケーション管理者としてサインインします。

  2. [Entra ID]>[エンタープライズ アプリ] に移動します。

  3. 前に作成したアプリケーションを検索します。

  4. メニューから、アプリケーションの [プロビジョニング ] ページに移動します。

  5. ポータルの [オンプレミス接続 ] セクションで、デプロイしたエージェントを選択し、[ エージェントの割り当て] を選択します。

    エージェントを選択して割り当てる方法を示すスクリーンショット。

  6. プロビジョニング エージェント サービスを再起動するか、接続をテストする前に 10 分待ちます。

  7. [ テナント URL ] フィールドに、アプリケーションの SCIM エンドポイントの URL を入力します。 例: https://api.contoso.com/scim/

  8. SCIM エンドポイントに必要な OAuth ベアラー トークンを [シークレット トークン ] フィールドにコピーします。

  9. Microsoft Entra ID で SCIM エンドポイントへの接続を試行するには、[ 接続のテスト ] を選択します。 試行が失敗すると、エラー情報が表示されます。

  10. アプリケーションへの接続が成功したら、[ 保存] を選択して管理者の資格情報を保存します。

  11. 構成ウィザードを使用して次の構成手順を完了したら、このブラウザー ウィンドウを開いたままにしておきます。

SCIM 対応アプリケーションへのプロビジョニング

エージェントがインストールされると、オンプレミスでそれ以上の構成は必要なくなり、すべてのプロビジョニング構成がポータルから管理されます。 SCIM 経由でプロビジョニングされるすべてのオンプレミス アプリケーションについて、次の手順を繰り返します。

  1. アプリケーションに必要 な属性マッピング または スコープ 規則を構成します。
  2. ユーザーとグループをアプリケーションに 割り当てることで、スコープにユーザー を追加します。
  3. 必要に応じて少数のユーザーのプロビジョニングをテストします。
  4. ユーザーをアプリケーションに割り当てることで、スコープにユーザーを追加します。
  5. [ プロビジョニング ] ウィンドウに移動し、[ プロビジョニングの開始] を選択します。
  6. プロビジョニング ログを使用して監視します。

次のビデオでは、オンプレミス プロビジョニングの概要を紹介しています。

次のステップ