Microsoft Entra IDのユーザープロビジョニング機能を使ってcybozu.comにユーザー情報を同期する

固定リンクがコピーされました

更新日：2023年02月01日

概要

固定リンクがコピーされました

Microsoft Entra ID（以下、Entra ID）のユーザープロビジョニング機能を使うと、Entra IDで管理しているユーザー情報をcybozu.comに同期できます。

この記事では、Entra IDのユーザープロビジョニング機能を使って、cybozu.comのユーザーを同期する方法を説明します。

ユーザープロビジョニング機能でできること

固定リンクがコピーされました

Entra IDで管理しているユーザー情報をcybozu.comに同期します。
たとえば、Entra IDにユーザーを追加すると、自動でcybozu.comにユーザーが追加されるようになります。
プロビジョニング機能は、次の操作に対応しています。
- ユーザーの追加
- ユーザー情報の更新
- ユーザーの使用停止
同期できるユーザー情報の項目は、以下のとおりです。
- ログイン名
- 表示名
- 姓
- 名
- Emailアドレス
- 使用状態
利用サービスは同期されません。
追加したユーザーがkintoneやGaroonなどのサービスを利用できるよう設定するには、cybozu.comにユーザーが追加されたあとに、利用サービスを設定してください。
サービスの利用許可
すでにcybozu.comにユーザーを登録している場合でも、プロビジョニング機能を利用できます。
プロビジョニングを有効化した後にcybozu.comで作成したユーザーを同期するとエラーが発生する場合があります。
その際は、cybozu.comの設定で「プロビジョニングの反映」を無効にした後再度有効にして、同期してください。

必要な環境

固定リンクがコピーされました

事前にEntra IDでSAML認証を設定してください。
手順の詳細は、次のページを参照してください。
Microsoft Entra IDを使ってcybozu.comにシングルサインオン

SAML認証を利用する場合は、次の注意事項も確認してください。
- ログイン時にSAML認証だけを使うように制限した場合の影響範囲
- User APIの共通仕様（SAML認証を設定している場合）
ユーザープロビジョニング機能を利用するには、次の権限が必要です。
- cybozu.com：cybozu.com共通管理者
- Entra ID：「アプリケーション管理者」または「ユーザー管理者」以上の権限

制限事項

固定リンクがコピーされました

組織、役職、グループ（ロール）、利用サービスの情報は同期できません。
同期した後にcybozu.comからユーザーを削除すると、再度同期してもcybozu.comにユーザーは再作成されません。
cybozu.comにユーザーを再作成するには、cybozu.comの設定で「プロビジョニングの反映」を無効にした後もう一度有効にして、同期してください。
同期したユーザーのログイン名の変更はできません。
cybozu.comでユーザーを削除した後、Entra IDでユーザーを作り直して同期してください。

その他の制限事項は、ヘルプサイトを参照してください。

注意事項

固定リンクがコピーされました

本番運用しているcybozu.comで設定をする前に、必ず、本番とは別のcybozu.comの環境で検証してください。
お試し環境の申し込み方法は、次のページを参照してください。
お試しはできますか？お試し方法を教えてください。
cybozu.comに対するアクセスをIPアドレスで制限したい場合には、Entra IDでのアクセス制限を検討してください。
Entra IDのIPアドレスは変更される可能性があり、cybozu.comのIPアドレス許可リストにEntra IDのIPアドレスを設定することは推奨しません。

設定手順

固定リンクがコピーされました

Entra IDのプロビジョニングを利用するまでの流れは、次のとおりです。

STEP1：cybozu.comの設定
プロビジョニングを有効化し、APIトークンを発行します。
STEP2：Entra IDの設定
- 1. cybozu.comとの接続設定
- 2. プロビジョニングの開始

STEP1：cybozu.comの設定

固定リンクがコピーされました

https://{sample}.cybozu.com/にアクセスします。
サブドメイン名は、お客様の環境によって異なります。
サブドメイン名がわからない場合には、次のページを参照してください。
契約内容を確認する
cybozu.com共通管理者のアカウントでログインします。
「cybozu.com共通管理」をクリックします。
[プロビジョニング]をクリックします。
[APIトークンの発行]をクリックします。
「有効期間」と「APIトークンの概要」を入力し、[発行]をクリックします。
発行されたAPIトークンとSCIMエンドポイントをメモに控えます。
ダイアログを閉じると、発行された値を確認できなくなります。
[閉じる]をクリックします。
「プロビジョニングの反映」を「有効」にします。

STEP2：Entra IDの設定

固定リンクがコピーされました

SAML認証を設定したCybozu（cybozu.com）アプリケーションとcybozu.comとの接続を設定します。

1. cybozu.comとの接続設定

Microsoft Portal Azure にアクセスします。
管理者のアカウントでサインインします。
左メニューから[Microsoft Entra ID]をクリックします。
左メニューから[エンタープライズアプリケーション]をクリックします。
SAML認証を設定したCybozu（cybozu.com）アプリケーションを開きます。
「ユーザーアカウントのプロビジョニング」の[作業を開始]をクリックします。
[作業の開始]をクリックします。
プロビジョニングモードで「自動」を選択します。
「管理資格情報」に、次の内容を入力します。
- テナントのURL：https://{sample}.cybozu.com/scim/v2/
  サブドメイン名は、お客様の環境によって異なります。
- シークレットトークン：STEP1で発行したAPIトークン
「マッピング」で「Provision Azure Active Directory Users」をクリックします。
必要に応じてマッピング属性を編集してください。

警告

[externalId]には、値がユニークになるMicrosoft Entra ID属性を割り当てる必要があります。
[テスト接続]をクリックします。

注意

「無効な資格情報を入力した可能性があります」と表示され、テスト接続に失敗する場合には、トラブルシューティングを参照してください。
「cybozu.comへの接続をテストしています」と表示されたら、[保存]をクリックします。
「ユーザープロビジョニング設定を更新しています」と表示されることを確認します。