Microsoft Entra プロビジョニング サービスでは、ユーザーをクラウドまたはオンプレミスのアプリケーションに自動的にプロビジョニングするために使用できる SCIM 2.0 クライアントがサポートされています。 この記事では、Microsoft Entra プロビジョニング サービスを使用して、SCIM が有効になっているオンプレミス アプリケーションにユーザーをプロビジョニングする方法について説明します。 SQL をデータ ストアとして使用する SCIM 以外のオンプレミス アプリケーションにユーザーをプロビジョニングする場合は、 Microsoft Entra ECMA Connector Host Generic SQL Connector チュートリアルを参照してください。 DropBox や Atlassian などのクラウド アプリにユーザーをプロビジョニングする場合は、アプリ固有のチュートリアルを確認 してください。
[前提条件]
- Microsoft Entra ID P1 または Premium P2 (または EMS E3 または E5) を持つ Microsoft Entra テナント。 この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 要件に適したライセンスを見つけるには、「 Microsoft Entra ID の一般公開機能を比較する」を参照してください。
- エージェントをインストールするための管理者ロール。 このタスクは 1 回限りの作業であり、少なくともハイブリッド ID 管理者である Azure アカウントである必要があります。
- 管理者は、少なくともアプリケーション管理者、クラウド アプリケーション管理者、またはアクセス許可を持つカスタム ロールである必要があります。
- プロビジョニング エージェントをホストするための RAM が少なくとも 3 GB のコンピューター。 コンピューターには Windows Server 2016 以降のバージョンの Windows Server が必要であり、ターゲット アプリケーションへの接続と、login.microsoftonline.com、他の Microsoft Online Services、および Azure ドメインへの送信接続が必要です。 たとえば、Azure IaaS またはプロキシの背後でホストされている Windows Server 2016 仮想マシンがあります。
- SCIM 実装が Microsoft Entra SCIM 要件を満たしていることを確認します。 Microsoft Entra ID には、開発者が SCIM 実装のブートストラップに使用できるオープンソース の参照コード が用意されています。 「チュートリアル: Microsoft Entra ID でサンプル SCIM エンドポイントを開発する」で説明されています。
- /schemas エンドポイントをサポートして、Azure portal で必要な構成を減らします。
Microsoft Entra Connect プロビジョニング エージェントをインストールして構成する
- Microsoft Entra 管理センターに、少なくともアプリケーション管理者としてサインインします。
- [Entra ID]>[エンタープライズ アプリ] に移動します。
- オンプレミスの SCIM アプリ アプリケーションを検索し、アプリに名前を付け、[作成] を選択してテナントに追加します。
- メニューから、アプリケーションの [プロビジョニング ] ページに移動します。
- [ 作業の開始] を選択します。
- [ プロビジョニング ] ページで、モードを [自動] に変更します。
- [ オンプレミス接続] で、[ ダウンロードとインストール] を選択し、[ 同意する] を選択してダウンロードします。
- ポータルを終了し、プロビジョニング エージェント インストーラーを開き、サービス条件に同意して、[インストール] を選択 します。
- Microsoft Entra プロビジョニング エージェント構成ウィザードを待ってから、[ 次へ] を選択します。
- [ 拡張機能の選択 ] ステップで、[ オンプレミス のアプリケーション プロビジョニング ] を選択し、[ 次へ] を選択します。
- プロビジョニング エージェントは、オペレーティング システムの Web ブラウザーを使用して、Microsoft Entra ID および組織の ID プロバイダーに対して認証するためのポップアップ ウィンドウを表示します。 Windows Server のブラウザーとして Internet Explorer を使用している場合は、JavaScript を正しく実行できるように、ブラウザーの信頼済みサイト一覧に Microsoft Web サイトを追加することが必要になる場合があります。
- 承認を求められたら、Microsoft Entra 管理者の資格情報を入力します。 ユーザーには、少なくとも ハイブリッド ID 管理者ロールが 必要です。
- [ 確認] を選択して設定を確認します。 インストールが成功したら、[ 終了] を選択し、プロビジョニング エージェント パッケージ インストーラーを閉じてもかまいません。
プロビジョニング エージェントを使用して接続を構成する
Microsoft Entra 管理センターに、少なくともアプリケーション管理者としてサインインします。
[Entra ID]>[エンタープライズ アプリ] に移動します。
前に作成したアプリケーションを検索します。
メニューから、アプリケーションの [プロビジョニング ] ページに移動します。
ポータルの [オンプレミス接続 ] セクションで、デプロイしたエージェントを選択し、[ エージェントの割り当て] を選択します。
プロビジョニング エージェント サービスを再起動するか、接続をテストする前に 10 分待ちます。
[ テナント URL ] フィールドに、アプリケーションの SCIM エンドポイントの URL を入力します。 例:
https://api.contoso.com/scim/
SCIM エンドポイントに必要な OAuth ベアラー トークンを [シークレット トークン ] フィールドにコピーします。
Microsoft Entra ID で SCIM エンドポイントへの接続を試行するには、[ 接続のテスト ] を選択します。 試行が失敗すると、エラー情報が表示されます。
アプリケーションへの接続が成功したら、[ 保存] を選択して管理者の資格情報を保存します。
構成ウィザードを使用して次の構成手順を完了したら、このブラウザー ウィンドウを開いたままにしておきます。
SCIM 対応アプリケーションへのプロビジョニング
エージェントがインストールされると、オンプレミスでそれ以上の構成は必要なくなり、すべてのプロビジョニング構成がポータルから管理されます。 SCIM 経由でプロビジョニングされるすべてのオンプレミス アプリケーションについて、次の手順を繰り返します。
- アプリケーションに必要 な属性マッピング または スコープ 規則を構成します。
- ユーザーとグループをアプリケーションに 割り当てることで、スコープにユーザー を追加します。
- 必要に応じて少数のユーザーのプロビジョニングをテストします。
- ユーザーをアプリケーションに割り当てることで、スコープにユーザーを追加します。
- [ プロビジョニング ] ウィンドウに移動し、[ プロビジョニングの開始] を選択します。
- プロビジョニング ログを使用して監視します。
次のビデオでは、オンプレミス プロビジョニングの概要を紹介しています。