Microsoft Entra IDのユーザープロビジョニング機能を使用し、Entra IDで管理しているユーザー情報をヌーラボの管理対象アカウントに同期できます。
Entra IDのユーザープロビジョニング機能を使って、ヌーラボの管理対象アカウントを同期する方法を説明します。
前提条件
- ユーザープロビジョニングは、Nulab Passを契約することで利用可能です
- 事前にSAML認証の設定が完了している必要があります
- 事前にユーザープロビジョニングの設定が完了している必要があります
Entra IDの設定
1. Entra IDにSCIM認証情報を設定する
- Microsoft Entra 管理センターにログインします
- エンタープライズ アプリケーションをクリックします
- 「すべてのアプリケーション」をクリックします
- 「新しいアプリケーション」をクリックします
- 「独自のアプリケーションの作成」をクリックします
- 任意のアプリケーション名を入力し、「ギャラリーに見つからないその他のアプリケーションを統合します」を選択し、「作成」をクリックします
- 左メニューの「プロビジョニング」をクリックします
- 「作業の開始」をクリックします
- プロビジョニングモードで「自動」を選択します
- 「管理資格情報」に、下記の内容を入力します
・テナントの URL:「2. トークンを発行する」で取得した「SCIM URL」
・シークレット トークン:「2. トークンを発行する」で取得した「SCIMトークン」
- 「テスト接続」をクリックします
「指定した資格情報にはプロビジョニングを有効にする権限があります」と表示されたら接続成功です。
2. Microsoft Entra IDにアプリロールを作成する
Microsoft Entra 管理センターにて下記3つのロールを作成します。ここで作成したロールが管理対象アカウントの権限とマッピングされます。アプリロールの「値」には以下の3つのうちいずれかを入力してください。
- ADMIN
- USER
- GUEST
- 「アプリケーション」>「アプリの登録」をクリックし、「すべてのアプリケーション」をクリックします
- 対象のアプリをクリックし、「アプリロール」>「アプリロールの作成」をクリックします
- ロールを作成します。ロールは下記3ロールを作成してください。
表示名 許可されたメンバーの種類 値 説明
このアプリ ロールを有効にしますか?任意の名前を入力 ユーザーまたはグループ ADMIN 任意の説明文を入力 チェックを入れる 任意の名前を入力 ユーザーまたはグループ USER 任意の説明文を入力 チェックを入れる 任意の名前を入力 ユーザーまたはグループ GUEST 任意の説明文を入力 チェックを入れる
- 「表示名」と「説明」には、任意の値を入力してください。入力後、「適用」をクリックします。
3. Provision Microsoft Entra ID Groupsを無効にする
初期設定では有効になっているProvision Microsoft Entra ID Groupsを無効にします。
- エンタープライズ アプリケーションをクリックします
- 1. Entra IDにSCIM認証情報を設定するで作成したアプリケーションをクリックします
- 左側メニューの「プロビジョニング」をクリックします
- 「マッピング」の「Provision Microsoft Entra ID Groups」をクリックします
- 「有効」の「いいえ」をクリックします
- 「保存」をクリックします
4. 属性マッピングを設定する
- エンタープライズ アプリケーションをクリックします
- 1. Entra IDにSCIM認証情報を設定するで作成したアプリケーションをクリックします
- 左側メニューの「プロビジョニング」をクリックします
- 「マッピング」の「Provision Microsoft Entra ID Users」をクリックします
- マッピング属性を編集します
下記が同期できる属性です。必須の属性は削除しないでください。❗ヒント
Microsoft Entra IDの属性設定はあくまで一例です。下記のように様々な設定ができますので、Microsoft Entra IDのチュートリアルを参考にご自分の組織に合った設定を行ってください。
- 不要な項目を削除する
- デフォルト値を設定する
- 既存データの上書きを避けるため、オブジェクト作成時のみデータを同期する
customappsso 属性 Microsoft Entra ID 属性 管理対象アカウントとのマッピング内容 externalId userPrincipalName アカウントを一意に識別するための値
Entra ID内で付与される一意なIDなど、ユニークかつ時間が経っても変更することのない値を設定してください
※ヌーラボサービスの画面上には表示されません
userName(必須) userPrincipalName メールアドレス
※アカウントを一意に識別するもの、この項目をキーにして管理対象アカウントが同期されます
※ 既定値は user.userprincipalname ですが、Nulab Pass (Backlog、Cacoo、Typetalk) ではこれを管理対象アカウントのメールアドレスにマッピングする必要があります。 そのため、一覧の user.mail 属性を使用するか、組織構成に基づいて適切な属性値を使用できます
displayName(必須) displayName ユーザー名 preferredLanguage preferredLanguage 言語
※ユーザーのpreferredLanguageが未指定の場合
・管理対象アカウントを作成する時にトークン発行者の言語が管理対象アカウントの言語として設定されます
・管理対象アカウントを更新する時に言語は更新されません
timezone Switch([country], "Asia/Tokyo","United States","America/New_York","Netherlands","Europe/Amsterdam")
※上記はあくまで例です。ご自身の設定にあわせて修正してください。設定方法はEntra IDのヘルプを参照してください。
タイムゾーン
※未指定の場合
・管理対象アカウントを作成する時にトークン発行者のタイムゾーンが管理対象アカウントのタイムゾーンとして設定されます
・管理対象アカウントを更新する時にタイムゾーンは更新されません
active(必須) Switch([IsSoftDeleted],, “False”, “True”, “True”, “False”) ・true: アクティブ
・false: 停止
roles[primary eq "True"].value SingleAppRoleAssignment([appRoleAssignments]) ・ADMIN: 管理者
・USER: 一般ユーザー
・GUEST: ゲスト※未指定の場合GUESTになります
❗ヒント:権限の同期についての注意点
同期により権限がゲストに変更された場合、利用できなくなる機能があります。下記をご確認いただき、適切な権限を割り当ててください。
- チーム管理者だった場合:チーム管理者ではなくなります
- ゲストが参加できないチームに所属している場合:該当のチームから削除されます
- 管理対象アカウントとロールをマッピングするための属性を追加します。「新しいマッピングの追加」をクリックします
- 下記フィールドを入力し、「OKをクリックします」
- マッピングの種類:式
- 式:SingleAppRoleAssignment([appRoleAssignments])
- 対象の属性:roles[primary eq "True"].value
- 「保存」をクリックします
5. ユーザーを割り当てる
アプリケーションにユーザーを割り当てます。割り当てられたユーザーのみがユーザープロビジョニングで管理対象アカウントと同期されます。
- 「ユーザーとグループ」>「ユーザーまたはグループの追加」をクリックします
- 「ユーザーとグループ」の「選択されていません」をクリックし、検索フィールドよりユーザーを検索します
- ユーザーにチェックを入れ、「選択」をクリックします
- 「ロールを選択してください」から「選択されていません」をクリックし、ユーザーに割り当てるロールを選択します
※選択したロールが管理対象アカウントの権限(管理者・一般ユーザー・ゲスト)になります。既存の管理対象アカウントの権限と違うロールを選択した場合、管理対象アカウントの権限はここで選択したロールに変更されます。
- 「割り当て」をクリックすると、ユーザーが追加されます
❗ヒント
Microsoft Entra IDのユーザーを残したままヌーラボの管理対象アカウントを停止したい場合は、Entra ID上の Nulab Passアプリケーションに割り当てられているユーザーのリストから該当のユーザーを除外してください。
❗ヒント
プロビジョニングの「設定」の「範囲」で、「すべてのユーザーとグループを同期する」を選択すると、Microsoft Entra IDに登録されているすべてのユーザーがユーザープロビジョニング対象になります。
6. プロビジョニングを開始する
- 「プロビジョニングの開始」をクリックします
クリックするとプロビジョニングが開始します。
同期にはある程度時間がかかります。かかる時間については、お使いのEntra IDの設定をご確認ください。 - ユーザーが同期されていることを確認します
以上で設定が完了です。
ユーザープロビジョニングが成功すると、メンバー一覧画面に「プロビジョニングされた管理対象アカウント」と表示されます。
ユーザープロビジョニングを開始すると、管理対象アカウントのメールアドレスと、Entra IDのユーザーのメールアドレスが同じ場合のみ、情報が同期されます。詳しくはユーザープロビジョニングによる管理対象アカウントの作成・編集・削除を参照してください。
また、管理対象ではないアカウントや、アップデートされていない管理対象アカウントの場合は同じメールアドレスだとしても同期はされません。詳しくはユーザープロビジョニングが可能なヌーラボアカウントを参照してください。
❗ヒント
Microsoft Entra IDのSCIM clientの既知のバグで、activeの同期が上手くいかずエラーになることがあります。その場合、SCIM URLの最後に 「?aadOptscim062020」 を追加してください。
ユーザープロビジョニングを停止する
- Microsoft Portal Azureに、管理者アカウントでサインインします
- プロビジョニングを有効にしているアプリケーションを選択します
- 左メニューの「プロビジョニング」をクリックします
- 「プロビジョニングの停止」をクリックします
- 「OK」をクリックします
❗ヒント
ユーザープロビジョニングを無効にするには、「組織設定」でも無効の設定をする必要があります。
ヌーラボ組織のユーザープロビジョニングを無効にするを参照し、無効にしてください。
注意事項
Microsoft Entra IDのpreferredLanguageについて
preferredLanguageは管理者が設定できません。各ユーザーが「設定およびプライバシー」で自分で設定した「優先する言語」がpreferredLanguageになります。
Microsoft Entra IDによる復元可能なアカウントについて
Microsoft Entra IDからユーザーが削除されても、30日間は下記の状態で管理対象アカウントが残ります。
- 停止中(ログイン不可)
- メールアドレスの先頭に自動的に英数字が追加
ユーザー削除から30日経つ前であれば、ユーザーの復元ができます。
ユーザー削除から30日経つ前に管理対象アカウントを削除したい場合は、Microsoft Entra ID上の「削除されたユーザー」画面にて、該当のユーザーを手動で「完全に削除」してください。
Microsoft Entra IDのNulab Passアプリを使用している方へ
Microsoft Entra IDのアプリケーションギャラリーにて提供しているNulab Passアプリでは、現在ユーザープロビジョニングが使用できません。今後、Microsoft Entra IDのNulab Passアプリにユーザープロビジョニングの設定が追加される予定です。(時期は未定です。)
そのため、現在Nulab Passアプリを使用してSAML認証している方で、ユーザープロビジョニングも使用したい場合は、下記のいずれかの方法で対応してください。
Nulab PassアプリでSAML認証し、「独自のアプリケーション」でユーザープロビジョニングを行う(推奨)
SAML認証で使用しているNulab Passアプリは修正の必要はありません。
ユーザープロビジョニングを使用するために、新たに「独自のアプリケーション」を作成し、ユーザープロビジョニングの設定をします。
また、ユーザーを割り当てる際に、SAML認証の設定をしているNulab Passアプリと、今回設定した「独自のアプリケーション」の両方にユーザーを割り当ててください。
「独自のアプリケーション」でSAML認証とユーザープロビジョニングを行う
- Nulab Passアプリの識別子 (エンティティ ID)の末尾に任意の一文字を追加する
- Nulab Passアプリに設定してある識別子 (エンティティ ID)を手順2で「独自のアプリケーション」に設定するため、重複しないように1文字追加します
- SAML認証(SSO)の設定を参照し、「独自のアプリケーション」でSAML認証をする
- ユーザープロビジョニングの設定を参照し、「独自のアプリケーション」でユーザープロビジョニングを設定する
- SAML認証とユーザープロビジョニングが正常に動作していることを確認後、Nulab Passアプリを削除する
❗ヒント:「独自のアプリケーション」の利用について
Microsoft Entra IDのNulab Passアプリにユーザープロビジョニングの設定が追加された後でも、Nulab Passアプリを利用せず「独自のアプリケーション」の利用は継続できます。
Nulab Passアプリを使用してSAML認証とユーザープロビジョニングを使用する場合は、今回作成した「独自のアプリケーション」を削除し、Nulab PassアプリでSAML認証設定とユーザープロビジョニング設定をやり直してください。