SCIM IDP連携(Microsoft Entra Connect)の設定方法

【Entra IDとトラスト・ログインを連携しID管理の手間を削減 】


「SCIM IDP連携」は SCIMプロトコルを使用し、ID情報の同期を行う機能です。
ここではSCIM IDP連携を使用してMicrosoft Entra IDと連携する設定方法をご案内します。
※本機能は、Microsoft EntraID Connectをご利用のお客様が、Microsoft EntraIDから
トラスト・ログインへユーザ同期を行う機能となっております。
※ご利用にあたりトラスト・ログインのプロプランかオプションの契約が必要です。料金はこちら

 

 

トラスト・ログインの設定

  1. トラスト・ログインにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、「SCIM IDP連携」の右にある「設定」を開きます。
    image01.png

  2. SCIM連携元設定を追加」を開きます。
    image02.png

  3. 任意の名前を設定して「登録」を押下します。
    image3.png

  4. 作成した連携元を開きます。
    image4.png

  5. SCIMエンドポイント」と「クレデンシャル生成」で取得した値をメモしておきます。
    (Entra IDの設定で利用します)
    ※ クレデンシャル生成を実施した場合、既存のクレデンシャルは利用できなくなります。
    image5.png

Azure ADの設定

「エンタープライズアプリケーション」の設定

  1. Entra ID管理画面から「エンタープライズアプリケーション」を開きます。
    Entra ID管理画面はこちら



  2. 「新しいアプリケーション」を選択します。


  3. 「独自のアプリケーションの作成」を選択します。


  4. 任意の名前を設定して「作成」を押下します。


  5. 「プロビジョニング」画面を開いて「新しい構成」または「アプリケーションの接続」を押下します。



  6. トラスト・ログインの設定の手順5 で取得した「SCIM設定用エンドポイント」を「テナントのURL」に、「クレデンシャル生成」で取得した値を「シークレットトークン」に入力します。


  7. 「テスト接続」を押下し、接続テストが正常に動作することを確認します。動作を確認したら「作成」をクリックします。


  8. マッピング項目の「Provision Microsoft Entra ID Users」を選択します。


  9. 「新しいマッピングの追加」を選択します。


  10. 属性マッピングにcompanyNameを追加します。「ソース属性」に「companyName」、
    「対象の属性」に「
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization」に設定してOKを押下します。


  11. 属性マッピングにimmutableidを追加します。
    再度「新しいマッピングの追加」を選択し、「ソース属性」に「immutableId」、
    「対象の属性」に「emails[type eq "other"].value」を設定して「OK」を押下します。

  12. 設定を保存します。


    [備考] Entra IDからTLにインポートされる属性値は以下の通りです:

    AzureAD AzureAD属性 AzureAD customappsso 属性 トラスト・ログイン
    ユーザー名/メール userPrincipalName userName メールアドレス
    表示名 displayName displayName -
    業務上のプロファイル jobTitle title -
    givenName name.givenName
    surname name.familyName
    番地 streetAddress addresses[type eq "work"].streetAddress 番地
    市区町村 city addresses[type eq "work"].locality 市区町村
    都道府県 state addresses[type eq "work"].region 都道府県
    郵便番号 postalCode addresses[type eq "work"].postalCode 郵便番号
    国/地域 country addresses[type eq "work"].country -
    会社電話 telephoneNumber phoneNumbers[type eq "work"].value 電話番号
    携帯電話 mobile phoneNumbers[type eq "mobile"].value -
    FAX番号 facsimileTelephoneNumber phoneNumbers[type eq "fax"].value -
    会社 companyName urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization 企業名
    部署 department urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department 部署

    immutableID

    UIでは非表示

    immutableId emails[type eq "other"].value カスタム属性: immutableID

    メール

    mail
    emails[type eq "work"].value
    サブメールアドレス
    外部ID objectId
    externalId
    -
     
  13. 「プロビジョニング」設定を開きます。


  14. マッピング項目の「Provision Microsoft Entra ID Groups」を選択します。


  15. 「有効」項目を「いいえ」に変更して保存します。


  16. 「プロビジョニング」設定を開きます。


「設定」項目の「範囲」を連携したい範囲に合わせて変更します。
特定のユーザーやグループのみを連携する場合は「割り当てられたユーザーとグループのみを同期する」を、
Entra ID配下のすべてのユーザーを連携する場合は「すべてのユーザーとグループを同期する」を選択します。



「ユーザープロビジョニング」の設定

  1. ユーザーのプロビジョニングを行います。
    「ユーザーとグループ」を開き「ユーザーまたはグループの追加」を選択します。


  2. 「選択されていません」を選択して、連携したいユーザー(又は連携したいユーザーが割り当てられたグループ)を選択します。


  3. 「割り当て」を押下します。


  4. 「プロビジョニング」を開き「プロビジョニングの開始」を押下してトラスト・ログインと連携を開始します。

    プロビジョニング開始のメッセージが表示されます。


  5. ユーザープロビジョニングの結果は「プロビジョニングログ」から確認できます。ログ上で「Create」操作が「Success」のユーザーはトラスト・ログイン側に作成されます。


  6. 設定が完了しました。
    Entra ID SCIM連携で作成されたトラスト・ログインメンバーの管理はEntra ID依存となるため、トラスト・ログイン側では以下のメンバー操作ができなくなります。

    ・プロフィール変更
    ・メンバーステータス変更
    ・メンバー削除
    mceclip1.png

現在、プロビジョニングが行われるのはユーザーのみでグループのプロビジョニングは行われません。グループの割り当てについては、「グループを登録する」の「自動(条件)でグループにメンバーを追加する」の項目をご参照ください。

 

よくあるご質問

Q 1)一部ユーザーのステータス変更や削除ができません。Azure ADのログを確認すると「500 Internal server error」と表示されています。
A 1)許可されていない値を設定しようとした際に表示されるエラーとなります。トラスト・ログインでは、メールアドレスとサブメールアドレスに同じ値を設定できないよう制限がかけられているため、Azure ADの”mail”には”userPrincipalName”と異なる値を設定するようにしてください。

 

続けてMicrosoft 365 のSAML認証設定を行う方はこちら↓

Microsoft 365(SAML自動設定)の設定方法 – サポート − トラスト・ログイン byGMO【旧SKUID(スクイド)】 (trustlogin.com)


連携を解除されたい場合はこちら↓
SCIM IDPの連携解除方法

SCIM IDP連携(Microsoft Entra Connect)の設定方法

【Entra IDとトラスト・ログインを連携しID管理の手間を削減 】


「SCIM IDP連携」は SCIMプロトコルを使用し、ID情報の同期を行う機能です。
ここではSCIM IDP連携を使用してMicrosoft Entra IDと連携する設定方法をご案内します。
※本機能は、Microsoft EntraID Connectをご利用のお客様が、Microsoft EntraIDから
トラスト・ログインへユーザ同期を行う機能となっております。
※ご利用にあたりトラスト・ログインのプロプランかオプションの契約が必要です。料金はこちら

 

 

トラスト・ログインの設定

  1. トラスト・ログインにログインし、「管理ページ > 設定 > オプション機能」メニューを開き、「SCIM IDP連携」の右にある「設定」を開きます。
    image01.png

  2. SCIM連携元設定を追加」を開きます。
    image02.png

  3. 任意の名前を設定して「登録」を押下します。
    image3.png

  4. 作成した連携元を開きます。
    image4.png

  5. SCIMエンドポイント」と「クレデンシャル生成」で取得した値をメモしておきます。
    (Entra IDの設定で利用します)
    ※ クレデンシャル生成を実施した場合、既存のクレデンシャルは利用できなくなります。
    image5.png

Azure ADの設定

「エンタープライズアプリケーション」の設定

  1. Entra ID管理画面から「エンタープライズアプリケーション」を開きます。
    Entra ID管理画面はこちら



  2. 「新しいアプリケーション」を選択します。


  3. 「独自のアプリケーションの作成」を選択します。


  4. 任意の名前を設定して「作成」を押下します。


  5. 「プロビジョニング」画面を開いて「新しい構成」または「アプリケーションの接続」を押下します。



  6. トラスト・ログインの設定の手順5 で取得した「SCIM設定用エンドポイント」を「テナントのURL」に、「クレデンシャル生成」で取得した値を「シークレットトークン」に入力します。


  7. 「テスト接続」を押下し、接続テストが正常に動作することを確認します。動作を確認したら「作成」をクリックします。


  8. マッピング項目の「Provision Microsoft Entra ID Users」を選択します。


  9. 「新しいマッピングの追加」を選択します。


  10. 属性マッピングにcompanyNameを追加します。「ソース属性」に「companyName」、
    「対象の属性」に「
    urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization」に設定してOKを押下します。


  11. 属性マッピングにimmutableidを追加します。
    再度「新しいマッピングの追加」を選択し、「ソース属性」に「immutableId」、
    「対象の属性」に「emails[type eq "other"].value」を設定して「OK」を押下します。

  12. 設定を保存します。


    [備考] Entra IDからTLにインポートされる属性値は以下の通りです:

    AzureAD AzureAD属性 AzureAD customappsso 属性 トラスト・ログイン
    ユーザー名/メール userPrincipalName userName メールアドレス
    表示名 displayName displayName -
    業務上のプロファイル jobTitle title -
    givenName name.givenName
    surname name.familyName
    番地 streetAddress addresses[type eq "work"].streetAddress 番地
    市区町村 city addresses[type eq "work"].locality 市区町村
    都道府県 state addresses[type eq "work"].region 都道府県
    郵便番号 postalCode addresses[type eq "work"].postalCode 郵便番号
    国/地域 country addresses[type eq "work"].country -
    会社電話 telephoneNumber phoneNumbers[type eq "work"].value 電話番号
    携帯電話 mobile phoneNumbers[type eq "mobile"].value -
    FAX番号 facsimileTelephoneNumber phoneNumbers[type eq "fax"].value -
    会社 companyName urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization 企業名
    部署 department urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department 部署

    immutableID

    UIでは非表示

    immutableId emails[type eq "other"].value カスタム属性: immutableID

    メール

    mail
    emails[type eq "work"].value
    サブメールアドレス
    外部ID objectId
    externalId
    -
     
  13. 「プロビジョニング」設定を開きます。


  14. マッピング項目の「Provision Microsoft Entra ID Groups」を選択します。


  15. 「有効」項目を「いいえ」に変更して保存します。


  16. 「プロビジョニング」設定を開きます。


「設定」項目の「範囲」を連携したい範囲に合わせて変更します。
特定のユーザーやグループのみを連携する場合は「割り当てられたユーザーとグループのみを同期する」を、
Entra ID配下のすべてのユーザーを連携する場合は「すべてのユーザーとグループを同期する」を選択します。



「ユーザープロビジョニング」の設定

  1. ユーザーのプロビジョニングを行います。
    「ユーザーとグループ」を開き「ユーザーまたはグループの追加」を選択します。


  2. 「選択されていません」を選択して、連携したいユーザー(又は連携したいユーザーが割り当てられたグループ)を選択します。


  3. 「割り当て」を押下します。


  4. 「プロビジョニング」を開き「プロビジョニングの開始」を押下してトラスト・ログインと連携を開始します。

    プロビジョニング開始のメッセージが表示されます。


  5. ユーザープロビジョニングの結果は「プロビジョニングログ」から確認できます。ログ上で「Create」操作が「Success」のユーザーはトラスト・ログイン側に作成されます。


  6. 設定が完了しました。
    Entra ID SCIM連携で作成されたトラスト・ログインメンバーの管理はEntra ID依存となるため、トラスト・ログイン側では以下のメンバー操作ができなくなります。

    ・プロフィール変更
    ・メンバーステータス変更
    ・メンバー削除
    mceclip1.png

現在、プロビジョニングが行われるのはユーザーのみでグループのプロビジョニングは行われません。グループの割り当てについては、「グループを登録する」の「自動(条件)でグループにメンバーを追加する」の項目をご参照ください。

 

よくあるご質問

Q 1)一部ユーザーのステータス変更や削除ができません。Azure ADのログを確認すると「500 Internal server error」と表示されています。
A 1)許可されていない値を設定しようとした際に表示されるエラーとなります。トラスト・ログインでは、メールアドレスとサブメールアドレスに同じ値を設定できないよう制限がかけられているため、Azure ADの”mail”には”userPrincipalName”と異なる値を設定するようにしてください。

 

続けてMicrosoft 365 のSAML認証設定を行う方はこちら↓

Microsoft 365(SAML自動設定)の設定方法 – サポート − トラスト・ログイン byGMO【旧SKUID(スクイド)】 (trustlogin.com)


連携を解除されたい場合はこちら↓
SCIM IDPの連携解除方法