次の方法で共有

チュートリアル:ThousandEyes を構成し、自動ユーザー プロビジョニングに対応させる

  • [アーティクル]

このチュートリアルの目的は、Microsoft Entra ID から ThousandEyes に対するユーザー アカウントのプロビジョニングおよびプロビジョニング解除を自動的に行うために、ThousandEyes と Microsoft Entra ID で行う必要がある手順を示すことです。

前提条件

このチュートリアルで説明するシナリオでは、次の項目があることを前提としています。

  • Microsoft Entra テナント
  • Standard プラン以上が有効な ThousandEyes テナント
  • Admin アクセス許可がある ThousandEyes のユーザー アカウント

Note

Microsoft Entra プロビジョニング統合では、Standard プラン以上の ThousandEyes チームで使うことができる ThousandEyes SCIM API が必要です。

ThousandEyes へのユーザーの割り当て

Microsoft Entra ID では、選択されたアプリへのアクセスが付与されるユーザーを決定する際に "割り当て" という概念が使用されます。 自動ユーザー アカウント プロビジョニングのコンテキストでは、Microsoft Entra ID 内のアプリケーションに "割り当て済み" のユーザーとグループのみが同期されます。

プロビジョニング サービスを構成して有効にする前に、ThousandEyes アプリへのアクセスが必要なユーザーを表す Microsoft Entra ID 内のユーザーやグループを決定しておく必要があります。 決定し終えたら、次の手順でこれらのユーザーを ThousandEyes アプリに割り当てることができます。

エンタープライズ アプリケーションにユーザーまたはグループを割り当てる

ユーザーを ThousandEyes に割り当てる際の重要なヒント

  • 単一の Microsoft Entra ユーザーを ThousandEyes に割り当てて、プロビジョニングの構成をテストすることをお勧めします。 後でユーザーやグループを追加で割り当てられます。

  • ThousandEyes にユーザーを割り当てるときは、ユーザー ロールまたは別の有効なアプリケーション固有ロール (使用可能な場合) を割り当てダイアログで選ぶ必要があります。 [既定のアクセス] ロールはプロビジョニングでは使うことができず、このロールのユーザーはスキップされます。

ThousandEyes へのユーザー プロビジョニングの構成

このセクションでは、Microsoft Entra ID を ThousandEyes のユーザー アカウント プロビジョニング API に接続する手順と、Microsoft Entra ID のユーザーとグループの割り当てに基づいて、割り当て済みのユーザー アカウントを ThousandEyes で作成、更新、無効化するようにプロビジョニング サービスを構成する手順を説明します。

ヒント

ThousandEyes では SAML ベースのシングル サインオンを有効にすることもできます。これを行うには、Azure portal で説明されている手順に従ってください。 シングル サインオンは自動プロビジョニングとは別に構成できますが、これらの 2 つの機能は相補的な関係にあります。

Microsoft Entra ID で ThousandEyes への自動ユーザー アカウント プロビジョニングを構成する

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します

    Enterprise applications blade

  3. シングル サインオンのために ThousandEyes を既に構成している場合は、検索フィールドで ThousandEyes のインスタンスを検索します。 構成していない場合は、 [追加] を選択してアプリケーション ギャラリーで ThousandEyes を検索します。 検索結果から ThousandEyes を選択してアプリケーションの一覧に追加します。

    The ThousandEyes link in the Applications list

  4. ThousandEyes のインスタンスを選択してから、 [プロビジョニング] タブを選択します。

    Provisioning tab

  5. [プロビジョニング モード][自動] に設定します。

Screenshot shows the Provisioning tab for ThousandEyes with Automatic selected for Provisioning Mode.

  1. [管理者資格情報] セクションで、ThousandEyes のアカウントによって生成された OAuth ベアラー トークンを入力します (トークンは、ThousandEyes アカウントの [プロファイル] で確認または生成できます)。

    Screenshot shows where to find the Account Settings link for the Current Account Group.

  2. [接続のテスト] をクリックして、Microsoft Entra ID で ThousandEyes アプリに接続できることを確認します。 接続できない場合は、使用中の ThousandEyes アカウントに管理者アクセス許可があることを確認してから、手順 5 をもう一度試します。

  3. [通知用メール] フィールドに、プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを入力して、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。

    Notification Email

  4. [保存] をクリックします。

  5. [マッピング] セクションの [Microsoft Entra ユーザーを ThousandEyes に同期する] を選択します。

  6. [属性マッピング] セクションで、Microsoft Entra ID から ThousandEyes に同期されるユーザー属性を確認します。 [照合] プロパティとして選択されている属性は、更新処理で Parsable のユーザー アカウントとの照合に使用されます。 照合する対象の属性を変更する場合は、その属性に基づいたユーザーのフィルター処理が Parsable API で確実にサポートされている必要があります。 [保存] ボタンをクリックして変更をコミットします。

    属性 Type フィルター処理のサポート
    externalId String
    userName String
    active Boolean
    displayName String
    emails[type eq "work"].value String
    name.formatted String

  7. スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの次の手順を参照してください。

  8. ThousandEyes に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態][オン] に変更します。

    Provisioning Status Toggled On

  9. [設定] セクションの [スコープ] で目的の値を選択して、ThousandEyes にプロビジョニングするユーザーやグループを定義します。

    Provisioning Scope

  10. プロビジョニングの準備ができたら、 [保存] をクリックします。

    Saving Provisioning Configuration

この操作により、 [設定] セクションの [スコープ] で定義したすべてのユーザーとグループの初期同期サイクルが開始されます。 初期サイクルは後続の同期よりも実行に時間がかかります。後続のサイクルは、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。

手順 6:デプロイを監視する

プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。

  1. プロビジョニング ログを使用して、正常にプロビジョニングされたユーザーと失敗したユーザーを特定します。
  2. 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの時間を確認します。
  3. プロビジョニング構成が異常な状態になったと考えられる場合、アプリケーションは検疫されます。 検疫状態の詳細については、こちらを参照してください。

その他のリソース

次のステップ