Azure向けのSCIMの設定
この記事では、Azure Active Directory(AD)を使用してSCIMを構成する方法について説明します。Azure向けにSCIMを設定すると、Azureを使用してKMSATコンソールでユーザーとグループを追加および管理できます。
この記事では、サードパーティソフトウェアの操作について説明します。Azureでのユーザープロビジョニングで問題が発生した場合は、Azureにアクセスして具体的な手順を確認することをお勧めします。KnowBe4のサポートチームに問い合わせることも可能です。
リンク先:
SCIMの構成
このセクションでは、AzureでSCIMを設定する方法について説明します。なお、KMSATコンソールで設定した後で、これらの手順を構成する必要があります。KMSATコンソールでSCIMを設定する方法の詳細については、「SCIM設定ガイド」を参照してください。
AzureでSCIMを設定するには、以下のステップに従って操作します。
- Azureポータルにログインし、[Azure Active Directory]に移動します。
- [エンタープライズ アプリケーション]をクリックします。
- + [新しいアプリケーション]をクリックします。
- 検索バーに「KnowBe4」と入力し、検索結果を絞り込みます。
- [KnowBe4 Security Awareness Training(KnowBe4セキュリティ意識向上トレーニング)]タイルをクリックします。
- 次に、[作成]をクリックします。[作成]をクリックすると、作成したアプリケーションの[概要]ページに移動します。[概要]ページが表示されない場合は、[エンタープライズ アプリケーション]リストからアプリケーションを開く必要があります。
- ページの左側にあるメニューで[プロビジョニング]タブを選択します。
- [使ってみる]をクリックします。
- [プロビジョニング モード]ドロップダウンメニューをクリックし、[自動]を選択します。
- 次に、[アカウント設定]ページから情報を入力する必要があります。この情報の場所の詳細については、「SCIM設定ガイド」を参照してください。[テナントURL]フィールドに、テナントURLを入力し、[シークレットトークン]フィールドに、SCIMトークンを入力します。
注:この機能は、現在オンデマンドプロビジョニングでは動作しません。
- 情報を入力したら、[テスト接続]ボタンをクリックします。このボタンをクリックすると、入力した内容が正しいかどうかを確認できます。接続に成功すると、成功したことを示すバナーが画面の右上隅に表示されます。
- 画面上部にある[保存]ボタンをクリックします。
次に、AzureとKMSATコンソール間で同期するユーザーとグループを定義する必要があります。
Azureと同期するユーザーとグループの定義
上記の「SCIMの構成」セクションのステップを完了したら、同期するユーザとグループを決定できます。この構成は、IDプロバイダ(IdP)のユーザーとグループを同期するために必要です。
注:このセクションでは、同期する特定のユーザーとグループを定義する操作手順について説明します。Azureの全てのユーザーとグループを同期する場合は、この記事の「FAQ」のセクションを参照してください。
注:ネストされているグループは、SCIMおよびAzureのプロビジョニングでは現在サポートされていません。詳細については、Microsoftの「Azure Active Directory でのアプリケーションのプロビジョニングのしくみ」の記事の「Scoping」のセクションを参照してください。
Azureと同期するユーザーとグループを定義するには、以下のステップに従って操作します。
- [Azure Active Directory]から、[エンタープライズ アプリケーション]に移動します。
- KnowBe4との接続のために作成したアプリケーションを選択します。
- ページ左側のメニューから[ユーザーとグループ]をクリックします。
- [ユーザーを追加] / [グループを追加]をクリックして、同期するユーザーまたはグループを選択します。
- [ユーザーとグループ]をクリックして、同期の対象とするユーザーまたはグループを検索します。ユーザーまたはグループを追加するには、ユーザーまたはグループの名前をクリックします。これらのユーザーとグループは、[選択されたアイテム]のカテゴリに表示されます。
注:最初に設定するときは、数人のユーザーだけを追加することをお勧めします。少数のユーザーから始めることで、全てのユーザーとグループを追加する前に、接続が正しく機能することを確認できます。
- [選択されたアイテム]のカテゴリに入れるユーザーとグループを追加したら、[選択]をクリックします。
- [割り当て]をクリックします。
これで、選択したユーザーとグループが表に表示されます。
同期の開始
SCIMを構成し、同期するユーザーとグループを追加したら、同期を開始する必要があります。一度同期を開始すると、40分ごとにAzure Active Directoryのユーザーとグループの変更が自動的にチェックされ、変更があった場合は同期が開始されます。
注:お使いのSCIMプロビジョニングアプリケーションに数千人を超えるユーザーがいる場合、最初の同期ではすべてのユーザーが含まれない可能性があります。しかし、アカウントのユーザーは段階的に同期されます。同期レポート間でわずかな変更しか確認されないようになるまでは、ユーザーのプロビジョニングを[テストモード]で実行することをお勧めします。わずかな変更しか確認されないようになるまで待機すると、KMSATコンソールでユーザーがアーカイブされるのを防止できます。
また、グループメンバーシップを同期する場合には、ユーザーを同期するよりも長い時間がかかる場合があります。アカウントの規模が大きい場合、KMSATコンソールで定期的に同期が行われます。
同期を開始するには、以下のステップに従って操作します。
- [Azure Active Directory]から、[エンタープライズ アプリケーション]に移動します。
- KnowBe4との接続のために作成したアプリケーションを選択します。
- ページの左側にあるメニューから、[プロビジョニング]を選択します。
- [プロビジョニングの開始]をクリックします。
すぐに同期が開始されます。一度同期を開始すると、40分ごとにAzure Active Directoryの変更がチェックされ、変更があった場合は同期が開始されます。
これらの同期のステータスや、同期に関するエラーや追加情報を確認するには、KMSATコンソールで[ユーザー] > [プロビジョニング]に移動します。
高度な設定オプション
SCIMを有効にすると、IDプロバイダのフィールドとKMSATコンソールの対応するフィールドが自動的に連携されます。デフォルトマッピングを変更したり、カスタムフィールドを追加したりする場合は、Azureでこれらのフィールドを更新するオプションを利用できます。
注:[メールエイリアス]は、SCIMのプロビジョニングでは現在サポートされていません。
Azureの高度な設定オプションの詳細については、以下のサブセクションを参照してください。
デフォルトマッピング
デフォルトのフィールドマッピングを以下に示します。
|
Azure Active Directoryのデフォルトの属性 |
KMSAT属性 |
KMSATフィールド |
|
userPrincipalName |
userName |
メール |
|
givenName |
name.givenName |
フィールド名 |
|
surname |
name.familyName |
姓 |
|
employeeId |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:employeeNumber |
従業員番号 |
|
jobTitle |
title |
役職名 |
|
companyName |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization |
組織 |
|
department |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department |
部署名 |
|
displayName |
displayName |
マネージャーの氏名 |
|
manager |
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:manager.value
注:マネージャー情報を同期するには、該当するマネージャーが同期の対象に含まれている必要があります。これらのマネージャーを同期の対象に追加するには、上記の「Azureと同期するユーザーとグループの定義」セクションを参照してください。
|
マネージャーのメールアドレス |
注:[Division]と[Organization]フィールドは、デフォルトではマッピングされません。これらのフィールドを使用する予定がある場合、マッピングを追加する必要があります。以下の「カスタムユーザーフィールドの属性マッピングの追加」セクションの操作手順に従って、これらの属性を追加できます。
|
Azure Active Directoryのデフォルトの属性 |
KMSAT属性 |
KMSATフィールド |
| 該当なし | 該当なし | タイムゾーン |
| 該当なし | 該当なし | 内線番号 |
| 該当なし | 該当なし | 言語 |
| 該当なし | 該当なし | コメント |
| 該当なし | 該当なし | ユーザーの入社日 |
デフォルトマッピングの変更
デフォルトマッピングを変更することで、AzureとKMSATコンソール間で同期するユーザー情報をカスタマイズできます。
デフォルトマッピングを変更するには、以下のステップに従って操作します。
- [Azure Active Directory]から、[エンタープライズ アプリケーション]に移動します。
- KnowBe4との接続のために作成したアプリケーションを選択します。
- ページの左側にあるメニューから、[プロビジョニング]を選択します。
- [プロビジョニング]ウィンドウで、[プロビジョニングの管理]の下にある[属性マッピングの編集]をクリックします。
- [マッピング]ドロップダウン矢印をクリックして、[マッピング]タブを展開します。
- [Azure Active Directory ユーザーのプロビジョニング]をクリックします。
- [属性マッピング]セクションが表示されるまで、下方にスクロールします。このセクションには、マッピングされている全属性のリストが表示されます。[Azure Active Directory属性]列には、Azureの属性名が表示されます。[KnowBe4属性]列には、この属性のSCIMの標準名が表示されます。
- 編集する属性を選択します。
-
横にある[属性の編集]ペインで、この属性をカスタマイズします。カスタマイズオプションの詳細については、以下のリストを参照してください。
- [マッピング タイプ]:ドロップダウンメニューから[直接]を選択します。
-
[ソース属性]:このカスタムフィールドにマッピングするAzureフィールドを選択します。
注:Azure ADにSSOを使用している場合、この属性はSSOの[ソース属性]と同じになるはずです。デフォルトでは、SSOの[ソース属性]はuser.userprincipalnameになります。詳細については、「Azure Active Directory(AD)を使用してSSO/SAMLを設定する方法」の記事の「Azure ADへのKnowBe4アプリケーションの追加」のセクションを参照してください。
- [既定値]:このフィールドはオプションです。空白にしておくことをお勧めします。
- [対象の属性]:選択したAzureフィールドにマッピングするカスタムフィールドを選択します。
- [この属性を使用してオブジェクトを照合する]:[いいえ]を選択することをお勧めします。
-
[このマッピングを適用する]:[常時]を選択することをお勧めします。
注:同期しない属性がある場合は、その属性の横にある[削除]ボタンをクリックして、同期を無効にできます。このアクションでは、この属性とKMSATコンソールで対応するフィールド間とのつながりだけが削除されます。Azureからデータが削除されることはありません。
- 必要な変更が完了したら、[OK]をクリックします。
注:[ソース属性]フィールドのみ変更することをお勧めします。属性の他の設定を変更すると、AzureとKMSATコンソールとの接続が切れる場合があります。
カスタムユーザーフィールドの属性マッピングの追加
また、6つのカスタムフィールドを追加するオプションもあります。これらのフィールドはデフォルトではマッピングされませんが、以下の手順でAzureに追加できます。
- [Azure Active Directory]から、[エンタープライズ アプリケーション]に移動します。
- KnowBe4との接続のために作成したアプリケーションを選択します。
- ページの左側にあるメニューから、[プロビジョニング]を選択します。
- [プロビジョニング]ウィンドウで、[プロビジョニングの管理]の下にある[属性マッピングの編集]を選択します。
- [マッピング]ドロップダウン矢印をクリックして、[マッピング]タブを展開します。
- [Azure Active Directory ユーザーのプロビジョニング]をクリックします。
- 表の下にある[新しいマッピングの追加]をクリックします。
- [属性の編集]ウィンドウで、使用する[ソース属性]を選択します。
- 次に、使用する[対象の属性]を選択します。KnowBe4は、以下のカスタムフィールドを提供しています。
KMSATフィールド
対象の属性
カスタムフィールド 1
urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField1
カスタムフィールド 2
urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField2
カスタムフィールド 3
urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField3
カスタムフィールド 4
urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customField4
カスタム日付 1
urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate1
カスタム日付 2
urn:ietf:params:scim:schemas:extension:knowbe4:kmsat:2.0:User:customDate2
部門
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:division
組織名
urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:organization
- その他の設定は、デフォルト設定のままにしておくことをお勧めします。
- ステップ8で追加したすべてのカスタムフィールドについて、ステップ9を繰り返します。
- 画面上部の[保存]をクリックすると、変更内容が保存されます。
これらのカスタムフィールドが、KMSATコンソールと同期されるようになります。
FAQ
Azure Active DirectoryでSCIMを使用する場合のよくある質問を以下にまとめました。
質問:同期はどのぐらいの頻度で行われますか?
回答:Azure Active Directoryのユーザーとグループの更新は40分ごとにチェックされます。変更があった場合、自動的に同期が開始されます。ただし、KMSATの[アカウント設定]の[SCIM設定]セクションにある[今すぐ同期を強制]ボタンをクリックすれば、いつでも強制的に同期できます。
質問:デフォルトマッピングに戻すにはどうしたらよいですか?
回答:以下の手順で、いつでもデフォルトマッピングに戻すことができます。
- [エンタープライズ アプリケーション]に移動します。
- KnowBe4との接続のために作成したアプリケーションを選択します。
- ページの左側にあるメニューから、[プロビジョニング]を選択します。
- [プロビジョニングの管理]の下にある[属性マッピングの編集]をクリックします。
- [マッピング]ドロップダウン矢印をクリックして、[マッピング]ドロップダウンメニューを展開します。
- [既定のマッピングを復元する]を選択します。
- 画面上部の[保存]をクリックします。
質問:すべてのユーザーとグループを同期するどうしますか?
回答:Azure Active Directoryの全ユーザーとグループを同期する場合は、以下のステップに従って操作します。
- SCIMと連携させるために設定したアプリケーションに移動します。
- [プロビジョニング]に移動します。
- 画面上部の[プロビジョニングの編集]を選択するか、[プロビジョニングの管理]の下にある[スコープフィルターの追加]を選択します。
- [設定]ドロップダウンメニューをクリックします。
- [スコープ]ドロップダウンメニューで[すべてのユーザーとグループの同期]を選択します。
- ページの上部にある[保存]をクリックします。
質問:グループ別にアプリケーションにユーザーを割り当てる機能がありませんが、KMSATコンソールと同期するユーザーを制限するにはどうすればよいですか?
回答:KMSATコンソールと同期するユーザーを制限するために、スコープフィルタを設定できます。スコープフィルタの作成についての詳細は、Microsoftの「スコープ フィルターを使用した属性ベースのアプリケーション プロビジョニング」の記事を参照してください。
コメント
0件のコメント
記事コメントは受け付けていません。