SCIM IDP連携(Azure AD)の設定方法

【Azure ADとトラスト・ログインを連携しID管理の手間を削減 】


「SCIM IDP連携」は SCIMプロトコルを使用しLDAPmangerと連携し、ID情報の同期を行う機能です。ここではSCIM IDP連携を使用してAzure ADと連携する設定方法をご案内します。

※ご利用にあたりトラスト・ログインのPROプランかオプションの契約が必要です。料金はこちら

 

トラスト・ログインの設定

  1. トラスト・ログインにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、「SCIM IDP連携」の右にある「設定」を開きます。
    image01.png

  2. SCIM連携元設定を追加」を開きます。
    image02.png

  3. 任意の名前を設定して「登録」を押下します。
    image3.png

  4. 作成した連携元を開きます。
    image4.png

  5. SCIMエンドポイント」と「クレデンシャル生成」で取得した値をメモしておきます。
    Azure AD側の設定で利用します)
    ※ クレデンシャル生成を実施した場合、既存のクレデンシャルは利用できなくなります。
    image5.png

Azure ADの設定

「エンタープライズアプリケーション」の設定

  1. Azure AD管理画面から「エンタープライズアプリケーション」を開きます。https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview
    image6.png

  2. 「新しいアプリケーション」を選択します。
    image7.png

  3. 「独自のアプリケーションの作成」を選択します。
    image8.png

  4. 任意の名前を設定して「作成」を押下します。
    image9.png

  5. 「プロビジョニング」を画面開いて「作業の開始」を押下します。
    image10.png

  6. トラスト・ログインの設定の手順5 で取得した「SCIM設定用エンドポイント」を「テナントのURL」に、「クレデンシャル生成」で取得した値を「シークレットトークン」に入力します。
    image11.png

  7. 「テスト接続」を押下し、接続テストが正常に動作することを確認します。動作を確認したら「保存」します。
    image12.png

  8. マッピング項目の「Provision Azure Active Directory Users」を選択します。
    image13.png

  9. 「新しいマッピングの追加」を選択します。
    image14.png

  10. 属性マッピングにcompanyNameを追加します。「ソース属性」に「companyName」、
    「対象の属性」に「
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization」に設定してOKを押下します。
    image15.png

  11. 属性マッピングにimmutableidを追加します。
    再度「新しいマッピングの追加」を選択し、「ソース属性」に「immutableId」、
    「対象の属性」に「emails[type eq "other"].value」を設定して「OK」を押下します。
    image21.png

  12. 設定を保存します。
    image16.png

    [備考] AzureADからTLにインポートされる属性値は以下の通りです:

    AzureAD AzureAD属性 AzureAD customappsso 属性 トラスト・ログイン
    ユーザー名/メール userPrincipalName userName メールアドレス
    表示名 displayName displayName -
    業務上のプロファイル jobTitle title -
    givenName name.givenName
    surname name.familyName
    番地 streetAddress addresses[type eq "work"].streetAddress 番地
    市区町村 city addresses[type eq "work"].locality 市区町村
    都道府県 state addresses[type eq "work"].region 都道府県
    郵便番号 postalCode addresses[type eq "work"].postalCode 郵便番号
    国/地域 country addresses[type eq "work"].country -
    会社電話 telephoneNumber phoneNumbers[type eq "work"].value 電話番号
    携帯電話 mobile phoneNumbers[type eq "mobile"].value -
    FAX番号 facsimileTelephoneNumber phoneNumbers[type eq "fax"].value -
    会社 companyName urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization 企業名
    部署 department urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department 部署
    immutableID immutableId emails[type eq "other"].value カスタム属性: immutableID
    - - - サブメールアドレス
     
  13. 「プロビジョニング」設定を開きます。
    image17.png

  14. マッピング項目の「Provision Azure Active Directory Groups」を選択します。
    image18.png

  15. 「有効」項目を「いいえ」に変更して保存します。
    image19.png

  16. 「プロビジョニング」設定を開きます。
    image20.png

「設定」項目の「範囲」を連携したい範囲に合わせて変更します。
Azure AD配下のすべてのユーザーを連携する場合は「すべてのユーザーとグループのみを同期する」を選択します。
image22.png


「ユーザープロビジョニング」の設定

  1. ユーザーのプロビジョニングを行います。
    「ユーザーとグループ」を開き「ユーザーまたはグループの追加」を選択します。
    image23.png

  2. 「選択されていません」を選択して、連携したいユーザー(又は連携したいユーザーが割り当てられたグループ)を選択します。
    image24.png

  3. 「割り当て」を押下します。
    image25.png

  4. 「プロビジョニング」を開き「プロビジョニングの開始」を押下してトラスト・ログインと連携を開始します。
    image26.png

    プロビジョニング開始のメッセージが表示されます。
    image27.png

  5. ユーザープロビジョニングの結果は「プロビジョニングログ」から確認できます。ログ上で「Create」操作が「Success」のユーザーはトラスト・ログイン側に作成されます。
    image28.png

  6. 設定が完了しました。
    Azure AD SCIM連携で作成されたトラスト・ログインメンバーの管理はAzure AD依存となるため、トラスト・ログイン側では以下のメンバー操作ができなくなります。

     ・プロフィール変更
     ・メンバーステータス変更
     ・グループ追加
     ・メンバー削除

    image29.png

現在、プロビジョニングが行われるのはユーザーのみでグループのプロビジョニングは行われません。グループの割り当てについては、「メンバーを登録する」の「自動(条件)でグループにメンバーを追加する」の項目をご参照ください。

 

続けてMicrosoft 365 のSAML認証設定を行う方はこちら↓

Microsoft 365(SAML自動設定)の設定方法 – サポート − トラスト・ログイン byGMO【旧SKUID(スクイド)】 (trustlogin.com)

SCIM IDP連携(Azure AD)の設定方法

【Azure ADとトラスト・ログインを連携しID管理の手間を削減 】


「SCIM IDP連携」は SCIMプロトコルを使用しLDAPmangerと連携し、ID情報の同期を行う機能です。ここではSCIM IDP連携を使用してAzure ADと連携する設定方法をご案内します。

※ご利用にあたりトラスト・ログインのPROプランかオプションの契約が必要です。料金はこちら

 

トラスト・ログインの設定

  1. トラスト・ログインにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、「SCIM IDP連携」の右にある「設定」を開きます。
    image01.png

  2. SCIM連携元設定を追加」を開きます。
    image02.png

  3. 任意の名前を設定して「登録」を押下します。
    image3.png

  4. 作成した連携元を開きます。
    image4.png

  5. SCIMエンドポイント」と「クレデンシャル生成」で取得した値をメモしておきます。
    Azure AD側の設定で利用します)
    ※ クレデンシャル生成を実施した場合、既存のクレデンシャルは利用できなくなります。
    image5.png

Azure ADの設定

「エンタープライズアプリケーション」の設定

  1. Azure AD管理画面から「エンタープライズアプリケーション」を開きます。https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview
    image6.png

  2. 「新しいアプリケーション」を選択します。
    image7.png

  3. 「独自のアプリケーションの作成」を選択します。
    image8.png

  4. 任意の名前を設定して「作成」を押下します。
    image9.png

  5. 「プロビジョニング」を画面開いて「作業の開始」を押下します。
    image10.png

  6. トラスト・ログインの設定の手順5 で取得した「SCIM設定用エンドポイント」を「テナントのURL」に、「クレデンシャル生成」で取得した値を「シークレットトークン」に入力します。
    image11.png

  7. 「テスト接続」を押下し、接続テストが正常に動作することを確認します。動作を確認したら「保存」します。
    image12.png

  8. マッピング項目の「Provision Azure Active Directory Users」を選択します。
    image13.png

  9. 「新しいマッピングの追加」を選択します。
    image14.png

  10. 属性マッピングにcompanyNameを追加します。「ソース属性」に「companyName」、
    「対象の属性」に「
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization」に設定してOKを押下します。
    image15.png

  11. 属性マッピングにimmutableidを追加します。
    再度「新しいマッピングの追加」を選択し、「ソース属性」に「immutableId」、
    「対象の属性」に「emails[type eq "other"].value」を設定して「OK」を押下します。
    image21.png

  12. 設定を保存します。
    image16.png

    [備考] AzureADからTLにインポートされる属性値は以下の通りです:

    AzureAD AzureAD属性 AzureAD customappsso 属性 トラスト・ログイン
    ユーザー名/メール userPrincipalName userName メールアドレス
    表示名 displayName displayName -
    業務上のプロファイル jobTitle title -
    givenName name.givenName
    surname name.familyName
    番地 streetAddress addresses[type eq "work"].streetAddress 番地
    市区町村 city addresses[type eq "work"].locality 市区町村
    都道府県 state addresses[type eq "work"].region 都道府県
    郵便番号 postalCode addresses[type eq "work"].postalCode 郵便番号
    国/地域 country addresses[type eq "work"].country -
    会社電話 telephoneNumber phoneNumbers[type eq "work"].value 電話番号
    携帯電話 mobile phoneNumbers[type eq "mobile"].value -
    FAX番号 facsimileTelephoneNumber phoneNumbers[type eq "fax"].value -
    会社 companyName urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization 企業名
    部署 department urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department 部署
    immutableID immutableId emails[type eq "other"].value カスタム属性: immutableID
    - - - サブメールアドレス
     
  13. 「プロビジョニング」設定を開きます。
    image17.png

  14. マッピング項目の「Provision Azure Active Directory Groups」を選択します。
    image18.png

  15. 「有効」項目を「いいえ」に変更して保存します。
    image19.png

  16. 「プロビジョニング」設定を開きます。
    image20.png

「設定」項目の「範囲」を連携したい範囲に合わせて変更します。
Azure AD配下のすべてのユーザーを連携する場合は「すべてのユーザーとグループのみを同期する」を選択します。
image22.png


「ユーザープロビジョニング」の設定

  1. ユーザーのプロビジョニングを行います。
    「ユーザーとグループ」を開き「ユーザーまたはグループの追加」を選択します。
    image23.png

  2. 「選択されていません」を選択して、連携したいユーザー(又は連携したいユーザーが割り当てられたグループ)を選択します。
    image24.png

  3. 「割り当て」を押下します。
    image25.png

  4. 「プロビジョニング」を開き「プロビジョニングの開始」を押下してトラスト・ログインと連携を開始します。
    image26.png

    プロビジョニング開始のメッセージが表示されます。
    image27.png

  5. ユーザープロビジョニングの結果は「プロビジョニングログ」から確認できます。ログ上で「Create」操作が「Success」のユーザーはトラスト・ログイン側に作成されます。
    image28.png

  6. 設定が完了しました。
    Azure AD SCIM連携で作成されたトラスト・ログインメンバーの管理はAzure AD依存となるため、トラスト・ログイン側では以下のメンバー操作ができなくなります。

     ・プロフィール変更
     ・メンバーステータス変更
     ・グループ追加
     ・メンバー削除

    image29.png

現在、プロビジョニングが行われるのはユーザーのみでグループのプロビジョニングは行われません。グループの割り当てについては、「メンバーを登録する」の「自動(条件)でグループにメンバーを追加する」の項目をご参照ください。

 

続けてMicrosoft 365 のSAML認証設定を行う方はこちら↓

Microsoft 365(SAML自動設定)の設定方法 – サポート − トラスト・ログイン byGMO【旧SKUID(スクイド)】 (trustlogin.com)