チュートリアル: ThousandEyes を構成し、自動ユーザー プロビジョニングに対応させる
このチュートリアルの目的は、Microsoft Entra ID から ThousandEyes に自動的にユーザー アカウントをプロビジョニングおよびプロビジョニング解除するために、ThousandEyes と Microsoft Entra ID で実行する必要のある手順を示すことです。
前提条件
このチュートリアルで説明するシナリオでは、次の項目があることを前提としています。
- Microsoft Entra テナント
- Standard プラン以上が有効な ThousandEyes テナント
- 管理者アクセス許可がある ThousandEyes のユーザー アカウント
注意
Microsoft Entra プロビジョニング統合では、Standard プラン以上の ThousandEyes チームで使うことができる ThousandEyes SCIM API が必要です。
ThousandEyes へのユーザーの割り当て
Microsoft Entra ID では、選択されたアプリへのアクセスが付与されるユーザーを決定する際に "割り当て" という概念が使用されます。 自動ユーザー アカウント プロビジョニングのコンテキストでは、Microsoft Entra ID 内のアプリケーションに "割り当て済み" のユーザーとグループのみが同期されます。
プロビジョニング サービスを構成して有効にする前に、ThousandEyes アプリへのアクセスが必要なユーザーを表す Microsoft Entra ID 内のユーザーやグループを決定しておく必要があります。 決定したら、次の手順に従って、これらのユーザーを ThousandEyes アプリに割り当てることができます。
エンタープライズ アプリにユーザーまたはグループを割り当てる
ユーザーを ThousandEyes に割り当てる際の重要なヒント
単一の Microsoft Entra ユーザーを ThousandEyes に割り当てて、プロビジョニングの構成をテストすることをお勧めします。 さらに多くのユーザーやグループは、後で割り当てることができます。
ThousandEyes にユーザーを割り当てるときは、ユーザー ロールまたは別の有効なアプリケーション固有ロール (使用可能な場合) を割り当てダイアログで選択する必要があります。 [既定のアクセス] ロールはプロビジョニングでは使うことができず、このロールのユーザーはスキップされます。
ThousandEyes へのユーザー プロビジョニングの構成
このセクションでは、Microsoft Entra ID を ThousandEyes のユーザー アカウント プロビジョニング API に接続する手順と、Microsoft Entra ID のユーザーとグループの割り当てに基づいて、ロール割り当て済みユーザーのアカウントを ThousandEyes で作成、更新、無効化するようにプロビジョニング サービスを構成する手順を説明します。
ヒント
ThousandEyes では SAML ベースのシングル サインオンを有効にすることもできます。これを行うには、Azure portal で説明されている手順に従ってください。 シングル サインオンは自動プロビジョニングとは別に構成できますが、これらの 2 つの機能は相補的な関係にあります。
Microsoft Entra ID で ThousandEyes への自動ユーザー アカウント プロビジョニングを構成する
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します
![[エンタープライズ アプリケーション] ブレード](common/enterprise-applications.png)
シングル サインオンのために ThousandEyes を既に構成している場合は、検索フィールドで ThousandEyes のインスタンスを検索します。 構成していない場合は、[追加] を選択してアプリケーション ギャラリーで ThousandEyes を検索します。 検索結果から ThousandEyes を選択してアプリケーションの一覧に追加します。
ThousandEyes のインスタンスを選択してから、[プロビジョニング] タブを選択します。
![[プロビジョニング] タブ](common/provisioning.png)
[プロビジョニング モード] を [自動] に設定します。
![[自動] オプションが強調表示された [プロビジョニング モード] ドロップダウン リストのスクリーンショット。](common/provisioning-automatic.png)
[管理者資格情報] セクションで、ThousandEyes のアカウントによって生成された OAuth ベアラー トークンを入力します (トークンは、ThousandEyes アカウントの [プロファイル] で確認または生成できます)。
![現在のアカウント グループの [アカウント設定] リンクが表示されている場所を示すスクリーンショット。](media/thousandeyes-provisioning-tutorial/thousandeyes2.png)
[テスト接続] をクリックして、Microsoft Entra ID が ThousandEyes アプリに接続できることを確認します。 接続できない場合は、使用中の ThousandEyes アカウントに管理者アクセス許可があることを確認してから、手順 5 をもう一度試します。
[通知用メール] フィールドに、プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを入力して、[エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。
[保存] をクリックします。
[マッピング] セクションの [Microsoft Entra ユーザーを ThousandEyes に同期する] を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から ThousandEyes に同期されるユーザー属性を確認します。 [照合] プロパティとして選択されている属性は、更新処理で Parsable のユーザー アカウントとの照合に使用されます。 照合する対象の属性を変更する場合は、その属性に基づいたユーザーのフィルター処理が Parsable API で確実にサポートされている必要があります。 [保存] ボタンをクリックして変更をコミットします。
属性 種類 フィルター処理のサポート externalId 文字列 ✓ userName 文字列 ✓ active ブール値 displayName 文字列 emails[type eq "work"].value 文字列 name.formatted 文字列 スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの次の手順を参照してください。
ThousandEyes に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態] を [オン] に変更します。
![プロビジョニングの状態を [オン] に切り替える](common/provisioning-toggle-on.png)
[設定] セクションの [スコープ] で目的の値を選択して、ThousandEyes にプロビジョニングするユーザーやグループを定義します。
プロビジョニングの準備ができたら、 [保存] をクリックします。
この操作により、 [設定] セクションの [スコープ] で定義したすべてのユーザーとグループの初期同期サイクルが開始されます。 初期サイクルは後続の同期よりも実行に時間がかかります。後続のサイクルは、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。
手順 6:デプロイを監視する
プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します:
- プロビジョニング ログ を使用して、正常にプロビジョニングされたユーザーと失敗したユーザーを特定します。
- 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの時間を確認します
- プロビジョニング構成が異常な状態になったと考えられる場合、アプリケーションは検疫されます。 検疫状態の詳細については、こちら を参照してください。