Microsoft Entra プロビジョニング サービスでは、ユーザーをクラウドまたはオンプレミスのアプリケーションに自動的にプロビジョニングするために使用できる SCIM 2.0 クライアントがサポートされています。 この記事では、Microsoft Entra プロビジョニング サービスを使用して、パブリック アクセスなしで Azure Databricks ワークスペースにユーザーをプロビジョニングする方法について説明します。
[前提条件]
- アクティブなサブスクリプションを持つ Microsoft Entra ユーザー アカウント。 アカウントをまだお持ちでない場合は、 無料でアカウントを作成できます。 - 次のいずれかのロール: - アプリケーション管理者- Cloud アプリケーション管理者- アプリケーション所有者。 Microsoft Entra ID ガバナンスと Microsoft Entra ID P1 または Premium P2 (または EMS E3 または E5) を使用します。 要件に適したライセンスを見つけるには、「 Microsoft Entra ID の一般公開機能を比較する」を参照してください。
- エージェントをインストールするための管理者ロール。 このタスクは 1 回限りの作業であり、少なくとも ハイブリッド ID 管理者 ロールを持つアカウントである必要があります。
- アプリケーションをクラウドで構成するための管理者ロールは、アプリケーション管理者、クラウドアプリケーション管理者、またはアプリケーション所有者です。
- プロビジョニング エージェントをホストするための RAM が少なくとも 3 GB のコンピューター。 コンピューターには Windows Server 2016 以降のバージョンの Windows Server が必要であり、ターゲット アプリケーションへの接続と、login.microsoftonline.com、その他の Microsoft Online Services、Azure ドメインへの送信接続が必要です。 たとえば、Azure IaaS またはプロキシの背後でホストされている Windows Server 2016 仮想マシンがあります。
Microsoft Entra Connect プロビジョニング エージェント パッケージのダウンロード、インストール、構成
プロビジョニング エージェントを既にダウンロードし、別のオンプレミス アプリケーション用に構成している場合は、次のセクションに進んでください。
Microsoft Entra 管理センターに、少なくともハイブリッド ID 管理者としてサインインします。
[Entra ID]>[Entra Connect]>[クラウド同期] に移動します。
左側で、[エージェント] を選択 します。
[ オンプレミス エージェントのダウンロード] を選択し、[ 使用条件に同意してダウンロード] を選択します。
注
オンプレミス アプリケーションのプロビジョニングと Microsoft Entra Connect クラウド同期または人事主導のプロビジョニングには、異なるプロビジョニング エージェントを使用してください。 3 つのシナリオはすべて、同じエージェントで管理しないでください。
- プロビジョニング エージェント インストーラーを開き、サービス条件に同意して、 次へを選択します。
- プロビジョニング エージェント ウィザードが開いたら、[ 拡張機能の選択 ] タブに進み、有効にする拡張機能の入力を求められたら 、[オンプレミス アプリケーション プロビジョニング ] を選択します。
- プロビジョニング エージェントは、オペレーティング システムの Web ブラウザーを使用して、Microsoft Entra ID および組織の ID プロバイダーに対して認証するためのポップアップ ウィンドウを表示します。 Windows Server のブラウザーとして Internet Explorer を使用している場合は、JavaScript を正しく実行できるように、ブラウザーの信頼済みサイト一覧に Microsoft Web サイトを追加することが必要になる場合があります。
- 承認を求められたら、Microsoft Entra 管理者の資格情報を入力します。 ユーザーには、少なくとも ハイブリッド ID 管理者ロールが 必要です。
- [ 確認] を選択して設定を確認します。 インストールが成功したら、[ 終了] を選択し、プロビジョニング エージェント パッケージ インストーラーを閉じてもかまいません。
SCIM 対応ワークスペースへのプロビジョニング
エージェントがインストールされると、オンプレミスでそれ以上の構成は必要なくなり、すべてのプロビジョニング構成が管理されます。
Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
Entra ID>エンタープライズ アプリ>新しいアプリケーションに移動します。
ギャラリーから オンプレミスの SCIM アプリ を追加 します。
左側のメニューから、[ プロビジョニング ] オプションに移動し、[ 開始] を選択します。
ドロップダウン リストから [ 自動 ] を選択し、[ オンプレミス接続 ] オプションを展開します。
ドロップダウン リストからインストールしたエージェントを選択し、[ エージェントの割り当て] を選択します。
次に、10 分待つか 、Microsoft Entra Connect プロビジョニング エージェントを 再起動してから、次の手順に進み、接続をテストします。
[ テナント URL ] フィールドに、アプリケーションの SCIM エンドポイント URL を指定します。 URL は通常、各ターゲット アプリケーションに対して一意であり、DNS で解決できる必要があります。 アプリケーションと同じホストにエージェントがインストールされているシナリオの例を次に示します。
https://localhost:8585/scim
Azure Databricks ユーザー設定コンソールで管理者トークンを作成し、[ シークレット トークン ] フィールドに同じトークンを入力します
[ テスト接続] を選択し、資格情報を保存します。 アプリケーション SCIM エンドポイントは、受信プロビジョニング要求をアクティブにリッスンしている必要があります。それ以外の場合、テストは失敗します。 接続の問題が発生した場合は、 ここで の手順を使用します。
注
テスト接続に失敗した場合は、要求が行われたことがわかります。 テスト接続エラー メッセージの URL は切り捨てられますが、アプリケーションに送信された実際の要求には、上記の URL 全体が含まれていることに注意してください。
- アプリケーションに必要 な属性マッピング または スコープ 規則を構成します。
- ユーザーとグループをアプリケーションに 割り当てることで、スコープにユーザー を追加します。
- 必要に応じて少数のユーザーのプロビジョニングをテストします。
- ユーザーをアプリケーションに割り当てることで、スコープにユーザーを追加します。
- [ プロビジョニング ] ウィンドウに移動し、[ プロビジョニングの開始] を選択します。
- プロビジョニング ログを使用して監視します。
次のビデオでは、オンプレミス プロビジョニングの概要を紹介しています。
その他の要件
- SCIM 実装が Microsoft Entra SCIM 要件を満たしていることを確認します。
Microsoft Entra ID には、開発者が SCIM 実装をブートストラップするために使用できるオープンソース の参照コード が用意されています。 - /schemas エンドポイントをサポートして、必要な構成を減らします。