Microsoft Entra ID でのアプリ プロビジョニングとは
Microsoft Entra ID では、''アプリ プロビジョニング'' という用語は、アプリケーションのユーザーの ID とロールを自動的に作成することを指します。
Microsoft Entra のアプリケーション プロビジョニングとは、ユーザーがアクセスする必要のあるアプリケーションに、ユーザーの ID とロールを自動的に作成することを指します。 自動プロビジョニングには、ユーザー ID の作成に加えて、状態または役割が変化したときのユーザー ID のメンテナンスおよび削除が含まれます。 一般的なシナリオには、Dropbox、Salesforce、ServiceNow などの SaaS アプリケーションへの Microsoft Entra ユーザーのプロビジョニングが含まれます。
また、Microsoft Entra ID では、ファイアウォールを開くことなく、オンプレミスまたは仮想マシンでホストされているアプリケーションへのユーザーのプロビジョニングがサポートされています。 下の表は、サポートされているコネクタへのプロトコルのマッピングを示しています。
| Protocol | コネクタ |
|---|---|
| SCIM | SCIM - SaaS SCIM - オンプレミス/プライベート ネットワークの場合 |
| LDAP | LDAP |
| SQL | SQL |
| REST | Web サービス |
| SOAP | Web サービス |
| フラット ファイル | PowerShell |
| Custom | カスタム ECMA コネクタ パートナーによって構築されたコネクタとゲートウェイ |
- プロビジョニングを自動化する: 新しいユーザーがチームまたは組織に加わるときに、適切なシステムで新しいアカウントを自動的に作成できます。
- プロビジョニング解除を自動化する: ユーザーがチームまたは組織を離れるときに、適切なシステムでアカウントを自動的に非アクティブ化できます。
- システム間でデータを同期する: ディレクトリまたは人事システムでの変更に基づいて、アプリとシステムの ID を最新の状態に維持します。
- グループをプロビジョニングする: グループをサポートするアプリケーションにグループをプロビジョニングします。
- アクセスの管理: アプリケーションでプロビジョニングされたユーザーを監視および監査します。
- ブラウン フィールドのシナリオでシームレスにデプロイする: ターゲット システムにユーザーが既に存在する場合でも、システム間で既存の ID を一致させ、簡単に統合できるようにします。
- リッチなカスタマイズを使用する: ソース システムからターゲット システムに送られる必要があるユーザー データが定義された、カスタマイズ可能な属性マッピングを利用します。
- 重大なイベントに関するアラートを受け取る: プロビジョニング サービスで重大なイベントに関するアラートが提供され、ビジネス ニーズに合わせてカスタム アラートを定義できる Log Analytics の統合が可能になります。
SCIM とは
プロビジョニングとプロビジョニング解除の自動化を助けるため、アプリでは独自のユーザー API とグループ API を公開します。 すべてのアプリが同じアクションを実行しようとするため、複数のアプリでのユーザー管理は困難です。 たとえば、ユーザーの作成または更新、グループへのユーザーの追加、ユーザーのプロビジョニング解除などです。 多くの場合、開発者がこれらのアクションを実装する方法は若干異なります。 使用するエンドポイント パスが異なったり、ユーザー情報を指定する方法が異なったり、情報の各要素を表すスキーマが異なったりします。
これらの課題に対処するため、クロスドメイン ID 管理システム (SCIM) 仕様では、アプリへの、アプリからの、およびアプリ内での移動に対し、共通のユーザー スキーマが提供されています。 SCIM は、プロビジョニングに対する事実上の標準になりつつあり、SAML (Security Assertions Markup Language) や OpenID Connect (OIDC) などのフェデレーション標準と一緒に使用すると、エンドツーエンドの標準ベースのアクセス管理用ソリューションが管理者に提供されます。
アプリケーションに対するユーザーとグループのプロビジョニングおよびプロビジョニング解除を自動化するための SCIM エンドポイントの開発について詳しくは、「SCIM エンドポイントの構築とユーザー プロビジョニングの構成」をご覧ください。 多くのアプリケーションは、Microsoft Entra ID と直接統合されます。 例として、Slack、Azure Databricks、Snowflake があります。 これらのアプリについては、開発者ドキュメントをスキップし、「SaaS アプリケーションと Microsoft Entra ID の統合に関するチュートリアル」で提供されているチュートリアルを使用してください。
手動プロビジョニングと自動プロビジョニングの比較
Microsoft Entra ギャラリーのアプリケーションでは、次の 2 つのプロビジョニング モードのいずれかがサポートされています。
- 手動プロビジョニングとは、アプリの自動 Microsoft Entra プロビジョニング コネクタがまだないことを意味します。 それらは手動で作成する必要があります。 たとえば、アプリの管理ポータルにユーザーを直接追加したり、ユーザー アカウントの詳細を含むスプレッドシートをアップロードしたりすることでこれを行います。 アプリから提供されるドキュメントを確認するか、アプリの開発者に問い合わせて、どのようなメカニズムが使用できるか判断してください。
- 自動とは、このアプリケーション用の Microsoft Entra プロビジョニング コネクタを使用できることを意味します。 そのアプリケーションのプロビジョニングの設定に固有の設定チュートリアルに従ってください。 「SaaS アプリケーションと Microsoft Entra ID の統合に関するチュートリアル」でアプリのチュートリアルを見つけてください。
アプリケーションでサポートされているプロビジョニング モードは、アプリケーションをエンタープライズ アプリに追加した後の [プロビジョニング] タブにも表示されます。
自動プロビジョニングの利点
最新の組織で使用されるアプリケーションの数は増え続けています。 IT 管理者は、大規模なアクセス管理を管理する必要があります。 シングル サインオン (SSO) のために SAML や OIDC などの標準を使用しますが、アクセスのためにはユーザーをアプリにプロビジョニングする必要もあります。 プロビジョニングとは、すべてのユーザー アカウントを手動で作成したり、毎週 CSV ファイルをアップロードしたりすることを意味すると思われることもあります。 これらのプロセスは時間がかかり、コストがかかり、エラーが発生しやすくなります。 プロセスを合理化するために、SAML Just-In-Time (JIT) を使用してプロビジョニングを自動化します。 ユーザーが組織から退職するか、役割の変更のために特定のアプリにアクセスする必要がなくなるときに、同じプロセスを使用してプロビジョニングを解除します。
自動プロビジョニングを使用する一般的な動機には、次のようなものがあります。
- プロビジョニング プロセスの効率と正確さを最大限に高める。
- 独自に開発したプロビジョニング ソリューションやプロビジョニング スクリプトのホスティングとメンテナンスに伴うコストを抑える。
- ユーザーが組織を離れるときに、主要な SaaS アプリからその ID をすぐに削除することで、組織のセキュリティを高める。
- 多くのユーザーを特定の SaaS アプリまたは SaaS システムに簡単にインポートする。
- アプリにサインインできるプロビジョニング対象ユーザーを、1 つのポリシー セットで決定する。
Microsoft Entra のユーザー プロビジョニングは、これらの課題に対応するのに役立ちます。 お客様による Microsoft Entra ユーザー プロビジョニングの使用方法について詳しくは、ASOS のケース スタディをご覧ください。 次のビデオでは、Microsoft Entra ID でのユーザー プロビジョニングの概要について説明します。
Microsoft Entra の自動ユーザー プロビジョニングで利用できるアプリケーションとシステム
Microsoft Entra では、一般的な多くの SaaS アプリや人事システムとの事前統合がサポートされているほか、SCIM 2.0 標準の特定の部分を実装するアプリも広くサポートされています。
事前に統合されたアプリケーション (ギャラリー SaaS アプリ): Microsoft Entra ID で事前統合プロビジョニング コネクタがサポートされているすべてのアプリケーションについては、「SaaS アプリケーションと Microsoft Entra ID の統合に関するチュートリアル」を参照してください。 ギャラリーに一覧表示されている事前統合アプリケーションでは、通常、プロビジョニングに SCIM 2.0 ベースのユーザー管理 API が使用されています。
プロビジョニングのために新しいアプリケーションを要求する場合は、「Microsoft Entra アプリケーション ギャラリーでのアプリケーションの公開の要求を送信する」を参照してください。 ユーザー プロビジョニング要求の場合、アプリケーションには SCIM 準拠のエンドポイントが必要です。 アプリをプラットフォームに迅速にオンボードできるように、アプリケーションのベンダーに SCIM 標準に準拠することを要求してください。
SCIM 2.0 をサポートするアプリケーション: SCIM 2.0 ベースのユーザー管理 API を実装するアプリケーションを汎用的に接続する方法については、「SCIM エンドポイントの構築とユーザー プロビジョニングの構成」を参照してください。
既存のディレクトリまたはデータベースを使用するアプリケーション、またはプロビジョニング インターフェイスを提供するアプリケーション: LDAP ディレクトリにプロビジョニングする方法、SQL データベース、REST または SOAP インターフェイスの使用、または PowerShell、カスタム ECMA コネクタ、またはパートナーによって構築されたコネクタとゲートウェイを経由してアクセスする方法については、チュートリアルを参照してください。
SAML を使用して Just-In-Time プロビジョニングをサポートするアプリケーション。
アプリケーションへの自動プロビジョニングを設定する方法
ギャラリーに一覧表示されている事前統合アプリケーションについては、既存のステップ バイ ステップ ガイダンスを使用して自動プロビジョニングを設定します。「SaaS アプリケーションと Microsoft Entra ID の統合に関するチュートリアル」を参照してください。 次のビデオでは、SalesForce の自動ユーザー プロビジョニングの設定方法が示されます。
SCIM 2.0 をサポートする他のアプリケーションについては、「SCIM エンドポイントの構築とユーザー プロビジョニングの構成」の手順に従ってください。