この記事では、New Relic by Organization と Microsoft Entra ID の両方で実行して、自動ユーザー プロビジョニングを構成するために必要な手順について説明します。 構成すると、Microsoft Entra ID は、Microsoft Entra プロビジョニング サービスを使用して 、New Relic by Organization にユーザーとグループを自動的にプロビジョニングおよびプロビジョニング解除します。 このサービスの機能、しくみ、よく寄せられる質問の重要な詳細については、「 Microsoft Entra ID を使用して SaaS アプリケーションへのユーザー プロビジョニングとプロビジョニング解除を自動化する」を参照してください。
サポートされている機能
- New Relic by Organization にユーザーを作成する
- アクセスが不要になった場合に New Relic by Organization のユーザーを削除する
- Microsoft Entra ID と New Relic by Organization の間でユーザー属性の同期を維持する
- New Relic by Organization でグループとグループ メンバーシップをプロビジョニングする
- New Relic by Organization へのシングル サインオン (推奨)
[前提条件]
この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。
- Microsoft Entra テナント
- プロビジョニングを構成するための アクセス許可 を持つ Microsoft Entra ID のユーザー アカウント ( アプリケーション管理者、 クラウド アプリケーション管理者、 アプリケーション所有者など)。
- ユーザーがアクセスできるようにする New Relic by Organization の 1 つまたは複数のアカウント。
手順 1: プロビジョニングデプロイメントを計画する
- プロビジョニング サービスのしくみについて説明します。
- プロビジョニングの対象範囲にいるユーザーを決定します。
- Microsoft Entra ID と New Relic by Organization の間でマップするデータを決定します。
手順 2: Microsoft Entra ID を使用したプロビジョニングをサポートするように New Relic by Organization を構成する
アカウント担当者と協力するか、support.newrelic.com でサポートを受けて、組織用に SCIM と SSO を構成します。 アカウント担当者に次の情報を提供する必要があります。
- 組織名
- 組織に関連付ける New Relic アカウント ID の一覧
アカウント担当者は、この情報を使用して、新しいシステムにお客様の組織のレコードを作成し、その組織にアカウントを関連付けます。
アカウント担当者は、ID プロバイダー用に New Relic SCIM/SSO アプリケーションを構成するために必要な次の情報を提供します。
- SCIM エンドポイント (テナント URL)
- SCIM ベアラー トークン (シークレット トークン)
SCIM ベアラー トークンにより、New Relic でのユーザーのプロビジョニングが許可されるため、この値はセキュリティで保護してください。 アカウント担当者は、安全な方法で SCIM ベアラー トークンをお客様に転送します。
手順 3: Microsoft Entra アプリケーション ギャラリーから New Relic by Organization を追加する
Microsoft Entra アプリケーション ギャラリーから New Relic by Organization を追加して、New Relic by Organization へのプロビジョニングの管理を開始します。 SSO のために New Relic by Organization を以前に設定している場合は、その同じアプリケーションを使用することができます。 ただし、最初に統合をテストするときは、別のアプリを作成することをお勧めします。 ギャラリーからのアプリケーションの追加の詳細については、 こちらをご覧ください。
手順 4: プロビジョニングのスコープに含まれるユーザーを定義する
Microsoft Entra プロビジョニング サービスを使用すると、アプリケーションへの割り当てに基づいて、またはユーザーまたはグループの属性に基づいてプロビジョニングされるユーザーをスコープできます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合は、 手順を使用してユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合は、 スコープ フィルターを使用できます。
小規模から始めます。 すべてのユーザーとグループにロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当てられたユーザーとグループに設定されている場合は、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てることで、これを制御できます。 スコープがすべてのユーザーとグループに設定されている場合は、 属性ベースのスコープ フィルターを指定できます。
追加のロールが必要な場合は、 アプリケーション マニフェストを更新 して新しいロールを追加できます。
手順 5: New Relic by Organization への自動ユーザー プロビジョニングを構成する
このセクションでは、Microsoft Entra ID のユーザーやグループの割り当てに基づいて TestApp でユーザーやグループを作成、更新、無効化するように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。
Microsoft Entra ID で New Relic by Organization 用に自動ユーザー プロビジョニングを構成するには:
Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
Entra ID>Enterprise アプリにアクセスする
![[企業向けアプリケーション] ブレード](common/enterprise-applications.png)
アプリケーションの一覧で [ New Relic by Organization] を選択します。
[プロビジョニング] タブ を 選択します。
![[プロビジョニング] オプションが強調表示されている [管理] オプションのスクリーンショット。](common/provisioning.png)
[プロビジョニング モード] を[自動] に設定します。
![[自動] オプションが強調表示されている [プロビジョニング モード] ドロップダウン リストのスクリーンショット。](common/provisioning-automatic.png)
[ 管理者資格情報 ] セクションで、[テナント URL] に
https://scim-provisioning.service.newrelic.com/scim/v2を入力します。 先ほど取得した SCIM 認証トークンの値を シークレット トークンに入力します。 [ テスト接続] を選択して、Microsoft Entra ID が New Relic に接続できることを確認します。 接続に失敗した場合は、確実に New Relic アカウントに管理者アクセス許可を付与してから、もう一度試します。![[管理者資格情報] ダイアログ ボックスを示すスクリーンショット。テナント U R L とシークレット トークンを入力できます。](media/new-relic-by-organization-provisioning-tutorial/provisioning.png)
[ 通知メール ] フィールドに、プロビジョニング エラー通知を受け取るユーザーまたはグループのメール アドレスを入力し、[ エラーが発生したときに電子メール通知を送信 する] チェック ボックスをオンにします。
[保存] を選択します。
[マッピング] セクション で 、[ Synchronize Microsoft Entra users to New Relic by Organization]\(Microsoft Entra ユーザーを New Relic by Organization に同期する\) を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から New Relic by Organization に同期されるユーザー 属性 を確認します。 [照合プロパティ] として選択されている属性は、更新操作のために New Relic by Organization のユーザー アカウントとの照合に使用されます。 一致するターゲット属性を変更する場合は、New Relic by Organization API がその属性に基づくユーザーのフィルター処理をサポートしていることを確認する必要があります。 [ 保存 ] ボタンを選択して変更をコミットします。
特性 タイプ ユーザー名 糸 エクスターナルID 糸 活動中 ボーリアン emails[type eq "仕事"].value 糸 名前.名 糸 名前.整形済み 糸 タイムゾーン 糸 [マッピング] セクション で 、[ Synchronize Microsoft Entra groups to New Relic by Organization]\(Microsoft Entra グループを New Relic by Organization に同期する\) を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から New Relic by Organization に同期されるグループ 属性 を確認します。 [照合プロパティ] として選択されている属性は、更新操作で New Relic by Organization のグループとの照合に使用されます。 [ 保存 ] ボタンを選択して変更をコミットします。
特性 タイプ 表示名 糸 エクスターナルID 糸 メンバー リファレンス スコープ フィルターを構成するには、スコープ フィルターに関する記事に記載されている次の手順 を参照してください。
New Relic by Organization の Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態] を [オン] に変更します。
[設定] セクションの [スコープ] で目的の値を選択して、New Relic by Organization にプロビジョニングするユーザーやグループを定義します。
プロビジョニングの準備ができたら、[ 保存] を選択します。
この操作により、[設定] セクションの [スコープ] で定義されているすべてのユーザーとグループの初期同期サイクルが開始されます。 最初のサイクルは、Microsoft Entra プロビジョニング サービスが実行されている限り、約 40 分ごとに発生する後続のサイクルよりも実行に時間がかかります。
手順 6: デプロイを監視する
プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。
- プロビジョニング ログを使用して、どのユーザーが正常にプロビジョニングされたか、または正常にプロビジョニングされなかったかを判断する
- 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの近さを確認します
- プロビジョニング構成が異常な状態にあると思われる場合、アプリケーションは検疫に入ります。 検疫状態の詳細については、 アプリケーションプロビジョニングの検疫状態 に関する記事を参照してください。