Azure Active Directory のユーザープロビジョニング機能を使って cybozu.com にユーザー情報を同期する
概要
Azure Active Directory(以下、 Azure AD)のユーザープロビジョニング機能を使うと、Azure AD で管理しているユーザー情報を cybozu.com に同期できます。
この記事では、Azure AD のユーザープロビジョニング機能を cybozu.com で利用する方法を説明します。
ユーザープロビジョニング機能でできること
- Azure AD で管理しているユーザー情報を cybozu.com に同期します。
たとえば、 Azure AD にユーザーを追加すると、自動で cybozu.com にユーザーが追加されるようになります。 - プロビジョニング機能は、次の操作に対応しています。
- ユーザーの追加
- ユーザー情報の更新
-
ユーザーの使用停止
- 同期できるユーザー情報の項目は、以下のとおりです。
- ログイン名
- 表示名
- 姓
- 名
- Email アドレス
- 使用状態
- 利用サービスは同期されません。
追加したユーザーが kintone や Garoon などのサービスを利用できるよう設定するには、cybozu.com にユーザーが追加されたあとに、利用サービスを設定してください。
サービスの利用許可 - すでに cybozu.com にユーザーを登録している場合でも、プロビジョニング機能を利用できます。
プロビジョニングを有効化した後に cybozu.com で作成したユーザーを同期するとエラーが発生する場合があります。
その際は、cybozu.com の設定で「プロビジョニングの反映」を無効にした後再度有効にして、同期してください。
必要な環境
- 事前に SAML 認証の設定を実施してください。
- Azure AD を使って SAML 連携を設定する方法は、次のページを参照してください。
Azure Active Directory を使って cybozu.com にシングルサインオン- SAML 認証を利用する場合は、次の注意事項も確認してください。
- Azure AD を使って SAML 連携を設定する方法は、次のページを参照してください。
- Azure AD の対象テナントに、同期するユーザーを追加してください。
- ユーザープロビジョニング機能を利用するには、次の権限が必要です。
- cybozu.com:cybozu.com 共通管理者
- Azure AD:「アプリケーション管理者」または「ユーザー管理者」以上の権限
制限事項
- 組織、役職、グループ(ロール)、利用サービスの情報は同期できません。
- 同期した後に cybozu.com からユーザーを削除すると、再度同期しても cybozu.com にユーザーは再作成されません。
cybozu.com にユーザーを再作成するには、cybozu.com の設定で「プロビジョニングの反映」を無効にした後もう一度有効にして、同期してください。 - 同期したユーザーのログイン名の変更はできません。
cybozu.com でユーザーを削除した後、Azure AD でユーザーを作り直して同期してください。
その他の制限事項は、
ヘルプサイト
を参照してください。
注意事項
- 本番運用している cybozu.com で設定をする前に、必ず、本番とは別の cybozu.com の環境で検証してください。
お試し環境の申し込み方法は、次のページを参照してください。
お試しはできますか?お試し方法を教えてください。 - cybozu.com に対するアクセスを IP アドレスで制限したい場合には、Azure AD でのアクセス制限を検討してください。
Azure AD の IP アドレスは変更される可能性があり、cybozu.com の IP アドレス許可リストに Azure AD の IP アドレスを設定することは推奨しません。
設定手順
Azure AD のプロビジョニングを利用するまでの流れは、次のとおりです。
-
STEP1:cybozu.com の設定
プロビジョニングを有効化し、 API トークンを発行します。 - STEP2:Azure AD の設定
STEP1:cybozu.com の設定
- https://{sample}.cybozu.com/ にアクセスします。
サブドメイン名は、お客様の環境によって異なります。
サブドメイン名がわからない場合には、次のページを参照してください。
契約内容を確認する - cybozu.com 共通管理者のアカウントでログインします。
- 「cybozu.com 共通管理」をクリックします。
- [プロビジョニング]をクリックします。
- [API トークンの発行]をクリックします。
- 「有効期間」と「API トークンの概要」を入力し、[発行]をクリックします。
- 発行された API トークンと SCIM エンドポイントをメモに控えます。
ダイアログを閉じると、発行された値を確認できなくなります。
- [閉じる]をクリックします。
- 「プロビジョニングの反映」を「有効」にします。
STEP2:Azure AD の設定
1. アプリケーションの追加
-
Microsoft Portal Azure
にアクセスします。
- 管理者のアカウントでサインインします。
- [Azure Active Directory]をクリックします。
- [テナントの管理]をクリックします。
- 同期対象のテナントを選択し、[スイッチ]をクリックします。
- [エンタープライズアプリケーション]をクリックし、[新しいアプリケーション]をクリックします。
- [独自のアプリケーションの作成]をクリックします。
- 必要な情報を入力します。
- お使いのアプリの名前は何ですか?
任意のアプリケーション名(例:cybozu.com) - アプリケーションでどのような操作を行いたいですか?
ギャラリーに見つからないその他のアプリケーションを統合します(ギャラリー以外)
- お使いのアプリの名前は何ですか?
- [作成]をクリックします。
- アプリケーションが作成されたことを確認します。
2. 同期する対象ユーザーの割り当て
- [ユーザーとグループの割り当て]をクリックします。
- [ユーザーまたはグループの追加]をクリックします。
- [選択されていません]をクリックし、同期対象のユーザーやグループを選択します。
- 「選択したアイテム」に対象同期のユーザーやグループが表示されていることを確認し、[選択]をクリックします。
- [割り当て]をクリックします。
3. cybozu.com との接続設定
- 「ユーザーアカウントのプロビジョニング」の[作業を開始]をクリックします。
- [作業の開始]をクリックします。
- プロビジョニングモードで「自動」を選択します。
- 「管理資格情報」に、次の内容を入力します。
- テナントのURL:https://{sample}.cybozu.com/scim/v2/
サブドメイン名は、お客様の環境によって異なります。 - シークレットトークン:STEP1 で発行した API トークン
- テナントのURL:https://{sample}.cybozu.com/scim/v2/
- [テスト接続]をクリックします。
注意
「無効な資格情報を入力した可能性があります」と表示され、テスト接続に失敗する場合には、 トラブルシューティング を参照してください。
- 「cybozu.com への接続をテストしています」と表示されたら、[保存]をクリックします。
- 「ユーザープロビジョニング設定を更新しています」と表示されることを確認します。
- 「マッピング」で[Provision Azure Active Directory Groups]をクリックします。
- 属性マッピングの「有効」で「いいえ」を選択します。
- [保存]をクリックします。
- 確認を促すメッセージが表示されたら、[はい]をクリックします。
- 「マッピング」で「Provision Azure Active Directory Users」をクリックします。
- 属性マッピングで以下の属性だけにします。それ以外の属性は[削除]をクリックして削除してください。
- user-PrincipalName
- Switch([IsSoftDeleted], , "False", "True", "True", "False")
- displayName
- givenName
- surname
- mailNickName
- [保存]をクリックし、確認を促すメッセージが表示されたら[はい]をクリックします。
- [保存]をクリックします。
4. プロビジョニングの開始
- [プロビジョニングの開始]をクリックします。
- プロセスが完了したら、cybozu.com にユーザーが同期されていることを確認します。
以降、プロビジョニングは 40 分間隔で実行されます。
その他の設定
プロビジョニングの即時実行
プロビジョニングを即時実行するには、次の手順で操作します。
- プロビジョニングにて、[要求時にプロビジョニングする]をクリックします。
- 同期対象のユーザーを検索し、表示されたユーザーを選択します。
- [プロビジョニング]をクリックします。
- アクションが成功したら、cybozu.com にユーザーが同期されていることを確認します。
- 表示されているページを閉じます。
プロビジョニングの停止
プロビジョニングを停止するには、次の手順で操作します。
- [プロビジョニングの停止]をクリックします。
- 確認を促すメッセージが表示されたら[OK]をクリックします。
プロビジョニングの再開
プロビジョニングを再開するには、[プロビジョニングの開始]をクリックします。
再開すると 、停止中に変更された内容も cybozu.com に反映されます。
cybozu.com のユーザーを使用停止、または再開する
cybozu.com のユーザーを使用停止にするには、次の手順でユーザーの割り当てを削除するか、Azure AD のユーザーを停止状態にします。
ここでは、ユーザーの割り当てを削除する手順を説明します。
- ユーザーとグループを開きます。
- 対象のユーザーにチェックを入れ、[削除]をクリックします。
- 確認を促すメッセージが表示されたら、[はい]をクリックします。
ユーザーの利用を再開するには、もう一度同期する対象のユーザーを割り当てし、プロビジョニングを実行してください。
トラブルシューティング
「無効な資格情報を入力した可能性があります。」と表示される場合
cybozu.com で設定した IP アドレス制限に原因の可能性があります。
cybozu.com に対するアクセスを IP アドレスで制限したい場合には、Azure AD でのアクセス制限を検討してください。
Azure AD の IP アドレスは変更される可能性があり、cybozu.com の IP アドレス許可リストに Azure AD の IP アドレスを設定することは推奨しません。
この Tips は、2022 年 8 月版 cybozu.com で動作を確認しています。