SCIMを使用したMicrosoft Azure Active Directoryユーザーの管理
概要
SCIM 2.0を使用してユーザーを管理するためにMicrosoft Azure Active Directory(Azure AD)をDruva inSyncと連携する手順を以下に説明します。
前提条件
- Druva inSyncは、SCIMを使用してユーザーを管理するように設定されています。詳細については、SCIMを使用したinSyncユーザー管理の設定を参照してください。
- Microsoft Azureの特権管理者、またはアプリを作成および管理する権限を持つ管理者アカウントである必要があります。
SCIMを使用したAzure ADユーザーのプロビジョニング
手順:
- Druva SCIMアプリをデプロイする
- Druva inSyncとのAPI連携を有効化する
- SCIM属性をSCIMアプリのAzure AD属性にマッピング
- Druvaアプリのプロビジョニングステータスを開始する
- ユーザーをSCIMアプリに割り当てる
- ユーザープロビジョニングを監視する監査機能
Druva SCIMアプリをデプロイする
- Microsoft Azure Active Directoryポータル(Azureポータル)に管理者としてログインします。
- Azure ADコンソールの左側のパネルで、[ Azure Active Directory ] をクリックします。
- [ All Services ] > [ Enterprise applications ] をクリックします。
- [ +New application ] をクリックします。
- アプリケーションの追加ページで、Druvaを検索します。
- 検索結果より、DruvaをContents managementカテゴリから選択します。
- 右側のアプリケーション追加ページで、カスタムSCIMアプリの名前をたとえば "Druva inSync SCIM app" のように入力し、[ Add ] をクリックします。
SCIMアプリが作成され、アプリの概要ページが表示されます。
このSCIMアプリをDruva inSyncと連携させます。
Druva inSyncとのAPI連携を有効化する
前提条件: inSync SCIMの設定中に作成したトークンを準備します。SCIMのトークンの生成を参照してください。
- Azureコンソールで [ All Services ] > [ Enterprise applications ] セクションに移動し、SCIMアプリを選択します。
- アプリの概要ページで、左側のペインの [ Manage ] の下にある [ Provisioning ] を選択します。
- [ Provisioning ] ペインで、プロビジョニングモードとして [ Automatic ] を選択します。
- [ Admin credentials ] セクションで、以下に定義されているフィールド値を指定します:
inSync クラウドの場合:- Tenant URL:Druva inSync クラウドエンドポイントURLを入力します。以下の形式です。https://apis.druva.com/insync/scim
- Secret Token: SCIMベースのユーザー管理用にinSync管理コンソールで生成したトークンを入力します。
- Tenant URL:Druva inSync GovCloudエンドポイントURLを入力します。以下の形式です。https://govcloudapis.druva.com/insync/scim
- Secret Token: SCIMベースのユーザー管理用にinSync管理コンソールで生成したトークンを入力します。
- [ Test Connection ] をクリックしてAzure ADをテストし、Druva inSync SCIMエンドポイントに接続してみます。
- テストが成功したら、[ Save ] をクリックします。
Azure ADマッピングの設定に進み、SCIM属性をAzure AD属性にマップします。
SCIMアプリでのSCIM属性とAzure AD属性のマッピング
管理者は、ユーザーアカウントがプロビジョニングまたは更新されたときに、Azure ADとDruva inSyncの間で通信する必要があるユーザー属性を表示および編集できます。前の手順で作成したDruva SCIMアプリは、デフォルトの基本属性と値を持ちます。Druva inSyncでは、手順6に示すいくつかの必須属性のみが必要です。また、SCIMマッピングで使用する予定のカスタムSCIM属性を追加または定義して、Druva inSyncでユーザーを分類することもできます。
IdPでマップするuserPrincipalName属性を除くカスタム属性は、Druva inSyncに保存されません。カスタム属性は、inSync管理コンソールで作成したSCIMマッピングを評価する場合にのみ使用されます。
- Azure Portalのホームページで、[ All Services ] > [ Enterprise applications ] セクションのSCIMアプリを見つけて選択します。
- アプリの概要ページで、左側のペインの [ Manage ] の下にある [ Provisioning ] を選択します。
- [ Mapping ] 設定をクリックします。
- [ Attribute Mapping ] ページで、[ Synchronize Azure Active Directory Users to <SCIM app名> ] を有効化します。
- Terget Object Actionsで以下を選択します。
- Create
- Update
- Delete
- [ Attribute Mapping ] セクションで以下を行います。
- 下の表に示すように、SCIM属性の値を定義します。
- Druva inSyncで使用するカスタム属性を追加して、ユーザーを分類するためのSCIMマッピングを作成します。
下表の属性は、Druva inSyncでは必須です。Druva inSyncで下表の必須属性を保持し、Azure AD属性値を使用してマッピングを作成します。
<参考> userName属性では userPrincipalName または Mail を使用してマッピングを作成できます。このuserName属性は、inSyncユーザーのメールアドレスに変換されます。
userName (inSyncのメールアドレス) としてUPNを使用:
Azure AD属性 | inSyncで使用されるSCIM属性(Druva属性) |
---|---|
userPrincipalName | userName |
Not([IsSoftDeleted]) | active |
displayName | displayName |
objectId | externalId |
userName (inSyncのメールアドレス) としてEmailを使用:
Azure AD属性 | inSyncで使用されるSCIMアプリ属性(Druva属性) |
---|---|
userName | |
Not([IsnSoftDeleted]) | active |
displayName | displayName |
objectId | externalId |
userPrincipalName属性のマッピング
userPrincipalNameごとにバックアップするようO365が構成されている一部の環境ではuserPrincipalNameを追加属性としてインポートする必要があります。この属性はinSyncでのユーザー作成に必須ではありませんが、上記環境のO365でinSyncによる認証やバックアップを行うにはuserPrincipalNameが必要です。
属性マッピングにuserPrincipalName(オプション)属性を追加するには以下を行います。
- [ Show advanced options ] を選択し、[ Edit attribute list for Druva ] リンクをクリックします。
- [ Edit Attribute List ] ウィンドウで、引用符なしで次のようにすべての値を設定します。
- Name: urn:ietf:params:scim:schemas:extension:Druva:2.0:User:userPrincipalName
- Type:String
- API Expression:userPrincipalName
- [ Save ] をクリックします。
- Druva App Provisioning に移動し、[ Add New Mapping ] をクリックします。
- [ Edit Attribute ] ウインドウで、Source attributeとしてuserPrincipalNameを、Target attributeとしてurn:ietf:params:scim:schemas:extension:Druva:2.0:User:userPrincipalNameを選択します。
- [ Save ] をクリックします。属性が Attribute Mappings に表示されます。
追加の属性をマップする(オプション)
組織によっては、ユーザーのカスタム属性値に基づいてユーザーをインポートし、別々のストレージやプロファイルにマッピングする必要がある場合があります。これを実現するために、inSyncのSCIMマッピングにフィルターを追加できます。このカスタム属性は、Azureでもマッピングする必要があります。
詳細については、SCIMマッピングの作成を参照してください。
属性マッピング (Attribute Mapping) に属性(都市や会社の属性など)を追加するには、次の手順を行います。
- [Show advanced options ] を選択し [ Edit attribute list for Druva ] リンクをクリックします。
- [ Edit Attribute List ] ウィンドウで、[ Name ] 列に City または Company を追加します。
- [ Edit Attribute List ] ウィンドウで、引用符なしで次のようにすべての値を設定します。
- Name:City または Company
- Type:String
- API Exression:<追加属性の名前>
たとえば、city (市)、country (国)、department (部署) というNameに対して、次のエントリを作成する必要があります:
urn:ietf:params:scim:schemas:extension:Druva:2.0:User:city
urn:ietf:params:scim:schemas:extension:Druva:2.0:User:country
urn:ietf:params:scim:schemas:extension:Druva:2.0:User:department
都市、国、部門以外の属性を使用する場合、以下のように同じ形式を使用して属性の名前を変更します。
urn:ietf:params:scim:schemas:extension:Druva:2.0:User:<目的の属性の名前>
これらの値は、引用符や括弧なしで入力する必要があります。
- Druva App Provisioning に移動し、[ Add New Mapping ] をクリックします。
- [ Edit Attribute ] ウィンドウで、 Source attribute として city、Target attribute としてurn:ietf:params:scim:schemas:extension:Druva:2.0:User:city を選択します。
- [ Save ] をクリックします。都市、国、または部門の属性が属性マッピングに表示されます。
Druvaアプリのプロビジョニングステータスを開始する
アプリの概要ページで、下にスクロールして [ Settings ] を表示し、以下を更新します。
- Provisioning Status を On に設定します。
- Scope を [ Sync only assigned users and groups ] に設定します。
ユーザーをSCIMアプリに割り当てる
この手順で、Druva inSyncで管理するユーザーとグループにSCIMアプリを割り当てます。SCIMアプリを一括でユーザーに割り当てる場合、Azure ADで作成したグループに対して割り当てることができます。グループ内のすべてのユーザーは自動的にSCIMアプリに割り当てられ、それらのアカウントはDruva inSyncで作成/管理されます。
<重要> Microsoft Azure Active Directoryの制限により、SCIMアプリはセキュリティグループ (Security Group) にのみ割り当てることができます。
- Azure Portalホームページで、[ All Services ] > [ Enterprise applications ] に移動し、Druva SCIMアプリを選択します。
- アプリの概要ページで、左側のペインの [ Manage ] の下にある [ Users and groups ] を選択します。
- 右側のペインで、[ +Add User ] をクリックします。
- [ Add Assignment ] ページで、ユーザーまたはユーザーグループを検索して選択し、SCIMアプリを割り当てます。
Druva inSyncでアカウントを管理するすべてのユーザーにSCIMアプリを割り当ててください。SCIMアプリをユーザーに割り当てると、ユーザーのアカウントがDruva inSyncで自動的に作成され、SCIMマッピングに従って構成されます。
ユーザープロビジョニングを監視する監査機能
ユーザーをDruva SCIMアプリに割り当てた後、Azureはプッシュ機能を使用して10〜15分後にユーザーがインポートされるため、しばらくお待ちください。
ユーザーがinSyncクラウドにインポートされていない場合は、プロビジョニングセクションでDruva SCIMアプリの監査ログを確認してください。
以下の手順に従って監査ログを確認してください。
- Druva SCIMアプリで、[ Provisioning ] をクリックします。
- [ View Audit Logs ] をクリックします。
以下は、[ View Audit Logs ] をクリックした後に表示される画面です。各エントリをクリックして、AzureからinSyncへのユーザーのエクスポートの成功または失敗の理由を確認できます。
<参考> AzureでユーザーをPreserve状態にすると、inSync CloudでもユーザーがPreserved状態になります。
inSyncユーザーがPreserved状態になる3つのシナリオがあります:
- ユーザーがAzure Active Directoryで削除された場合
- ユーザーがDruva SCIMアプリから削除/割り当て解除された場合
- Azure Active Directoryでユーザーが無効(サインインのブロック)化された場合
O365ライセンスが削除されても、inSyncユーザーは引き続き有効/アクティブ状態のままです。
SCIMを使用して管理されるユーザーのユーザー名に特殊文字?、*、/、\、<、>が含まれている場合、それらは自動的に_(アンダースコア)に置き換えられます。