Microsoft Entra IDのユーザープロビジョニング機能を使ってcybozu.comにユーザー情報を同期する

目次

概要

Microsoft Entra ID(以下、Entra ID)のユーザープロビジョニング機能を使うと、Entra IDで管理しているユーザー情報をcybozu.comに同期できます。

この記事では、Entra IDのユーザープロビジョニング機能を使って、cybozu.comのユーザーを同期する方法を説明します。

ユーザープロビジョニング機能でできること

  • Entra IDで管理しているユーザー情報をcybozu.comに同期します。
    たとえば、Entra IDにユーザーを追加すると、自動でcybozu.comにユーザーが追加されるようになります。
  • プロビジョニング機能は、次の操作に対応しています。
  • 同期できるユーザー情報の項目は、以下のとおりです。
    • ログイン名
    • 表示名
    • Emailアドレス
    • 使用状態
  • 利用サービスは同期されません。
    追加したユーザーがkintoneやGaroonなどのサービスを利用できるよう設定するには、cybozu.comにユーザーが追加されたあとに、利用サービスを設定してください。
    サービスの利用許可 (External link)
  • すでにcybozu.comにユーザーを登録している場合でも、プロビジョニング機能を利用できます。
    プロビジョニングを有効化した後にcybozu.comで作成したユーザーを同期するとエラーが発生する場合があります。
    その際は、cybozu.comの設定で「プロビジョニングの反映」を無効にした後再度有効にして、同期してください。

必要な環境

制限事項

  • 組織、役職、グループ(ロール)、利用サービスの情報は同期できません。
  • 同期した後にcybozu.comからユーザーを削除すると、再度同期してもcybozu.comにユーザーは再作成されません。
    cybozu.comにユーザーを再作成するには、cybozu.comの設定で「プロビジョニングの反映」を無効にした後もう一度有効にして、同期してください。
  • 同期したユーザーのログイン名の変更はできません。
    cybozu.comでユーザーを削除した後、Entra IDでユーザーを作り直して同期してください。

その他の制限事項は、 ヘルプサイト (External link) を参照してください。

注意事項

  • 本番運用しているcybozu.comで設定をする前に、必ず、本番とは別のcybozu.comの環境で検証してください。
    お試し環境の申し込み方法は、次のページを参照してください。
    お試しはできますか?お試し方法を教えてください。 (External link)
  • cybozu.comに対するアクセスをIPアドレスで制限したい場合には、Entra IDでのアクセス制限を検討してください。
    Entra IDのIPアドレスは変更される可能性があり、cybozu.comのIPアドレス許可リストにEntra IDのIPアドレスを設定することは推奨しません。

設定手順

Entra IDのプロビジョニングを利用するまでの流れは、次のとおりです。

STEP1:cybozu.comの設定

  1. https://{sample}.cybozu.com/にアクセスします。
    サブドメイン名は、お客様の環境によって異なります。
    サブドメイン名がわからない場合には、次のページを参照してください。
    契約内容を確認する (External link)
  2. cybozu.com共通管理者のアカウントでログインします。
  3. 「cybozu.com共通管理」をクリックします。
  4. [プロビジョニング]をクリックします。

  5. [APIトークンの発行]をクリックします。

  6. 「有効期間」と「APIトークンの概要」を入力し、[発行]をクリックします。

  7. 発行されたAPIトークンとSCIMエンドポイントをメモに控えます。
    ダイアログを閉じると、発行された値を確認できなくなります。

  8. [閉じる]をクリックします。
  9. 「プロビジョニングの反映」を「有効」にします。

STEP2:Entra IDの設定

SAML認証を設定したCybozu(cybozu.com)アプリケーションとcybozu.comとの接続を設定します。

1. cybozu.comとの接続設定
  1. Microsoft Portal Azure (External link) にアクセスします。

  2. 管理者のアカウントでサインインします。

  3. 左メニューから[Microsoft Entra ID]をクリックします。

  4. 左メニューから[エンタープライズ アプリケーション]をクリックします。

  5. SAML認証を設定したCybozu(cybozu.com)アプリケーションを開きます。

  6. 「ユーザーアカウントのプロビジョニング」の[作業を開始]をクリックします。

  7. [作業の開始]をクリックします。

  8. プロビジョニングモードで「自動」を選択します。

  9. 「管理資格情報」に、次の内容を入力します。

    • テナントのURL:https://{sample}.cybozu.com/scim/v2/
      サブドメイン名は、お客様の環境によって異なります。
    • シークレットトークン:STEP1で発行したAPIトークン

  10. 「マッピング」で「Provision Azure Active Directory Users」をクリックします。
    必要に応じてマッピング属性を編集してください。

    caution
    警告

    [externalId]には、値がユニークになるMicrosoft Entra ID属性を割り当てる必要があります。

  11. [テスト接続]をクリックします。

    warning
    注意

    「無効な資格情報を入力した可能性があります」と表示され、テスト接続に失敗する場合には、 トラブルシューティングを参照してください。

  12. 「cybozu.comへの接続をテストしています」と表示されたら、[保存]をクリックします。

  13. 「ユーザープロビジョニング設定を更新しています」と表示されることを確認します。

2. プロビジョニングの開始
  1. [プロビジョニングの開始]をクリックします。

  2. プロセスが完了したら、cybozu.comにユーザーが同期されていることを確認します。

以降、プロビジョニングは40分間隔で実行されます。

その他の設定

プロビジョニングの即時実行

プロビジョニングを即時実行するには、次の手順で操作します。

  1. プロビジョニングにて、[要求時にプロビジョニングする]をクリックします。

  2. 同期対象のユーザーを検索し、表示されたユーザーを選択します。

  3. [プロビジョニング]をクリックします。

  4. アクションが成功したら、cybozu.comにユーザーが同期されていることを確認します。
  5. 表示されているページを閉じます。


プロビジョニングの停止

プロビジョニングを停止するには、次の手順で操作します。

  1. [プロビジョニングの停止]をクリックします。

  2. 確認を促すメッセージが表示されたら[OK]をクリックします。

プロビジョニングの再開

プロビジョニングを再開するには、[プロビジョニングの開始]をクリックします。
再開すると 、停止中に変更された内容もcybozu.comに反映されます。

cybozu.comのユーザーを使用停止、または再開する

cybozu.comのユーザーを使用停止にするには、次の手順でユーザーの割り当てを削除するか、Entra IDのユーザーを停止状態にします。
ここでは、ユーザーの割り当てを削除する手順を説明します。

  1. ユーザーとグループを開きます。

  2. 対象のユーザーにチェックを入れ、[削除]をクリックします。

  3. 確認を促すメッセージが表示されたら、[はい]をクリックします。

ユーザーの利用を再開するには、もう一度同期する対象のユーザーを割り当てし、プロビジョニングを実行してください。

トラブルシューティング

「無効な資格情報を入力した可能性があります。」と表示される場合

cybozu.comで設定したIPアドレス制限に原因の可能性があります。

cybozu.comに対するアクセスをIPアドレスで制限したい場合には、Entra IDでのアクセス制限を検討してください。
Entra IDのIPアドレスは変更される可能性があり、cybozu.comのIPアドレス許可リストにEntra IDのIPアドレスを設定することは推奨しません。

information

このTipsは、2024年2月版cybozu.comで動作を確認しています。