cybozu developer network

カテゴリー内の他の記事

Azure Active Directory のユーザープロビジョニング機能を使って cybozu.com にユーザー情報を同期する

Index

概要

Azure Active Directory(以下、Azure AD)のユーザープロビジョニング機能を使うと、Azure AD で管理しているユーザー情報を cybozu.com に同期できます。

この記事では、Azure AD のユーザープロビジョニング機能を cybozu.com で利用する方法を説明します。

ユーザープロビジョニング機能でできること

  • Azure AD で管理しているユーザー情報を cybozu.com に同期します。
    たとえば、Azure AD にユーザーを追加すると、自動で cybozu.com にユーザーが追加されるようになります。
  • プロビジョニング機能は、次の操作に対応しています。
  • 同期できるユーザー情報の項目は、以下のとおりです。
    • ログイン名
    • 表示名
    • Email アドレス
    • 使用状態
  • 利用サービスは同期されません。
    追加したユーザーが kintone や Garoon などのサービスを利用できるよう設定するには、cybozu.com にユーザーが追加されたあとに、利用サービスを設定してください。
    サービスの利用許可
  • すでに cybozu.com にユーザーを登録している場合でも、プロビジョニング機能を利用できます。

必要な環境

制限事項

  • 組織、役職、グループ(ロール)、利用サービスの情報は同期できません。
  • 同期した後に cybozu.com からユーザーを削除すると、再度同期しても cybozu.com にユーザーは再作成されません。
    削除したユーザーを同期させるには、Azure AD でユーザーを作り直す必要があります。
  • 同期したユーザーのログイン名を変更することはできません。
    cybozu.com でユーザーを削除した後、Azure AD でユーザーを作り直して同期してください。

その他の制限事項は、ヘルプサイトを参照してください。

注意事項

  • 本番運用している cybozu.com で設定をする前に、必ず、本番とは別の cybozu.com の環境で事前検証を行ってください。
    お試し環境の申し込み方法は、次のページを参照してください。
    お試しはできますか?お試し方法を教えてください。
  • cybozu.com に対するアクセスを IP アドレスで制限したい場合には、Azure AD でのアクセス制限を検討してください。
    Azure AD の IP アドレスは変更される可能性があり、cybozu.com の IP アドレス許可リストに Azure AD の IP アドレスを設定することは推奨しません。

設定手順

設定の流れ

Azure AD のプロビジョニングを利用するまでの流れは、次のとおりです。

STEP1:cybozu.com の設定

  1. https://{sample}.cybozu.com/ にアクセスします。
    サブドメイン名は、お客様の環境によって異なります。
    サブドメイン名がわからない場合には、次のページを参照してください。
    契約内容を確認する
  2. cybozu.com 共通管理者のアカウントでログインします。
  3. 「cybozu.com共通管理」をクリックします。
  4. [プロビジョニング]をクリックします。
  5. [APIトークンの発行]をクリックします。
  6. 「有効期限」と「APIトークンの概要」を入力し、[発行]をクリックします。
  7. 発行された APIトークンと SCIMエンドポイントをメモに控えます。
    ダイアログを閉じると、発行された値を確認できなくなります。
  8. [閉じる]をクリックします。
  9. 「プロビジョニングの反映」を「有効」にします。

STEP2:Azure AD の設定

1. アプリケーションの追加

  1. Microsoft Portal Azure にアクセスします。
  2. 管理者のアカウントでサインインします。
  3. [Azure Active Directory]をクリックします。
  4. [テナントの管理]をクリックします。
  5. 同期対象のテナントを選択し、[スイッチ]をクリックします。
  6. [エンタープライズアプリケーション]をクリックし、[新しいアプリケーション]をクリックします。
  7. [独自のアプリケーションの作成]をクリックします。
  8. 必要な情報を入力します。
    • お使いのアプリの名前は何ですか?
      任意のアプリケーション名(例:cybozu.com)
    • アプリケーションでどのような操作を行いたいですか?
      ギャラリーに見つからないその他のアプリケーションを統合します(ギャラリー以外)
  9. [作成]をクリックします。
  10. アプリケーションが作成されたことを確認します。

2. 同期する対象ユーザーの割り当て

  1. [ユーザーとグループの割り当て]をクリックします。
  2. [ユーザーまたはグループの追加]をクリックします。
  3. [選択されていません]をクリックし、同期対象のユーザーやグループを選択します。
  4. 「選択したアイテム」に対象同期のユーザーやグループが表示されていることを確認し、[選択]をクリックします。
  5. [割り当て]をクリックします。

3. cybozu.com との接続設定

  1. 「ユーザーアカウントのプロビジョニング」の[作業を開始]をクリックします。
  2. [作業の開始]をクリックします。
  3. プロビジョニングモードで「自動」を選択します。
  4. 「管理資格情報」に、次の内容を入力します。
    • テナントのURL:https://{sample}.cybozu.com/scim/v2/
      サブドメイン名は、お客様の環境によって異なります。
    • シークレットトークン:STEP1 で発行した API トークン

     
  5. [テスト接続]をクリックします。
    「無効な資格情報を入力した可能性があります。」と表示され、テスト接続に失敗する場合には、トラブルシューティングを参照してください。
  6. 「cybozu.comへの接続をテストしています」と表示されたら、[保存]をクリックします。
  7. 「ユーザープロビジョニング設定を更新しています」と表示されることを確認します。
  8. 「マッピング」で[Provision Azure Active Directory Groups]をクリックします。
  9. 属性マッピングの「有効」で「いいえ」を選択します。
  10. [保存]をクリックします。
  11. 確認を促すメッセージが表示されたら、[はい]をクリックします。
  12. 「マッピング」で「Provision Azure Active Directory Users」をクリックします。
  13. 属性マッピングで以下の属性だけにします。それ以外の属性は[削除]をクリックして削除してください。
    • user-PrincipalName
    • Switch([IsSoftDeleted], , "False", "True", "True", "False")
    • displayName
    • mail
    • givenName
    • surname
    • mailNickName
  14. [保存]をクリックし、確認を促すメッセージが表示されたら[はい]をクリックします。
  15. [保存]をクリックします。


4. プロビジョニングの開始

  1. [プロビジョニングの開始]をクリックします。
  2. プロセスが完了したら、cybozu.comにユーザーが同期されていることを確認します。

以降、プロビジョニングは40分間隔で実行されます。

その他の設定

プロビジョニングの即時実行

プロビジョニングを即時実行するには、次の手順で操作します。

  1. プロビジョニングにて、[要求時にプロビジョニングする]をクリックします。
  2. 同期対象のユーザーを検索し、表示されたユーザーを選択します。
  3. [プロビジョニング]をクリックします。
  4. アクションが成功したら、cybozu.comにユーザーが同期されていることを確認します。
  5. 表示されているページを閉じます。

プロビジョニングの停止

プロビジョニングを停止するには、次の手順で操作します。

  1. [プロビジョニングの停止]をクリックします。
  2. 確認を促すメッセージが表示されたら[OK]をクリックします。

 

プロビジョニングの再開

プロビジョニングを再開するには、[プロビジョニングの開始]をクリックします。
再開すると 、停止中に変更された内容も cybozu.com に反映されます。

cybozu.com のユーザーを使用停止、または再開する

cybozu.com のユーザーを使用停止にするには、次の手順でユーザーの割り当てを削除するか、Azure AD のユーザーを停止状態にします。
ここでは、ユーザーの割り当てを削除する手順を説明します。

  1. ユーザーとグループを開きます。
  2. 対象のユーザーにチェックを入れ、[削除]をクリックします。
  3. 確認を促すメッセージが表示されたら、[はい]をクリックします。

ユーザーの利用を再開するには、もう一度同期する対象のユーザーを割り当てし、プロビジョニングを実行してください。

トラブルシューティング

「無効な資格情報を入力した可能性があります。」と表示される場合

cybozu.com に設定した IP アドレス制限が原因の可能性があります。

cybozu.com に対するアクセスを IP アドレスで制限したい場合には、Azure AD でのアクセス制限を検討してください。
Azure AD の IP アドレスは変更される可能性があり、cybozu.com の IP アドレス許可リストに Azure AD の IP アドレスを設定することは推奨しません。

このTipsは、2022年8月版 cybozu.com で確認した内容です。

記事に関するフィードバック

記事のコメント欄は記事に対するフィードバックをする場となっております。
右の記事フィードバックのためのガイドを参照してコメントしてください。
記事のリンク切れなど、気になる点がある場合も、こちらのフォームからフィードバックいただけますと幸いです。

サインインしてコメントを残してください。