チュートリアル:Concur を構成し、自動ユーザー プロビジョニングに対応させる

このチュートリアルでは、直接 Microsoft Entra ID から Concur にユーザー アカウントを自動的にプロビジョニング/プロビジョニング解除するために、Concur と Microsoft Entra ID で実行する必要がある手順について説明します。

前提条件

このチュートリアルで説明するシナリオでは、次の項目があることを前提としています。

• Microsoft Entra テナント。
• Concur でのシングル サインオンが有効なサブスクリプション。
• Team Admin アクセス許可がある Concur のユーザー アカウント。

Concur へのユーザーの割り当て

Microsoft Entra ID では、選択されたアプリへのアクセスが付与されるユーザーを決定する際に "割り当て" という概念が使用されます。 自動ユーザー プロビジョニングのコンテキストでは、Microsoft Entra ID 内のアプリケーションに割り当て済みのユーザーやグループのみが同期されます。

プロビジョニング サービスを構成して有効にする前に、Microsoft Entra アプリへのアクセスが必要なユーザーを表す Microsoft Entra ID 内のユーザーやグループを決定しておく必要があります。 決定し終えたら、次の手順でこれらのユーザーを Concur アプリに割り当てることができます。

エンタープライズ アプリにユーザーまたはグループを割り当てます。

ユーザーを Concur に割り当てる際の重要なヒント

• 1 人の Microsoft Entra ユーザーを Concur に割り当てて、プロビジョニングの構成をテストすることをお勧めします。 後でユーザーやグループを追加で割り当てられます。

• Concur にユーザーを割り当てるときに、有効なユーザー ロールを選択する必要があります。 "既定のアクセス" ロールはプロビジョニングでは使えません。

ユーザー プロビジョニングの有効化

このセクションでは、Microsoft Entra ID を Concur のユーザー アカウント プロビジョニング API に接続する手順と、Microsoft Entra ID のユーザーとグループの割り当てに基づいて、割り当て済みのユーザー アカウントを Concur で作成、更新、無効化するようにプロビジョニング サービスを構成する手順を説明します。

ユーザー アカウント プロビジョニングを構成するには

このセクションでは、Active Directory のユーザー アカウントのプロビジョニングを Concur に対して有効にする方法について説明します。

Expense Service でアプリケーションを有効にするには、正しい設定と共に、Web サービス管理者のプロファイルを使用する必要があります。 T&E 管理機能で使用する既存の管理者プロファイルに WS 管理者のロールを追加しないでください。

Concur コンサルタントまたはクライアント管理者は、Web サービス管理者プロファイルを別に作成する必要があります。クライアント管理者は、Web サービス管理者の機能 (アプリケーションの有効化など) に対してこのプロファイルを使用します。 このプロファイルは、クライアント管理者が日々使用する T&E 管理者プロファイルとは別にする必要があります (T&E 管理者プロファイルには、WS 管理者のロールを割り当てないでください)。

アプリケーションの有効化に使用するプロファイルを作成するときは、ユーザー プロファイルのフィールドにクライアント管理者の名前を入力します。 これにより、プロファイルに所有権が割り当てられます。 プロファイルの作成が完了したら、クライアントはそのプロファイルを使用してログインし、[Web サービス] メニューにあるパートナー アプリケーションの [有効にする] ボタンをクリックします。

次の理由から、通常の T&E の管理に使用するプロファイルではこのアクションを実行しないでください。

• クライアントは、アプリケーションを有効にした後で表示されるダイアログ ウィンドウで [はい] をクリックしたクライアントと同一でなければなりません。 このクリックは、クライアントがパートナー アプリケーションに対して自分のデータにアクセスすることを許可する意思を示すものです。したがって、パートナーなど、クライアント以外の人物が [はい] をクリックすることはできません。

• クライアント管理者が T&E 管理者プロファイルを使用してアプリケーションを有効にした後で、会社を退職した場合 (その結果、プロファイルが非アクティブになった場合)、そのプロファイルを使用して有効にしたアプリケーションは、別のアクティブな WS 管理者プロファイルで有効にするまで機能しなくなります。 このため、WS 管理者プロファイルを別途作成する必要があります。

• 管理者が会社を退職した場合、その WS 管理者プロファイルに関連付けられている名前を、必要に応じて別の管理者に変更することができます。この方法では、プロファイルを非アクティブ化する必要がないため、有効にしたアプリケーションに影響が及ぶことはありません。

ユーザー プロビジョニングを構成するには、次の手順に従います。

1. Concur テナントにログインします。

2. [管理] メニューの [Web サービス] をクリックします。

   

3. 左側の [Web サービス] ウィンドウで、 [パートナー アプリケーションの有効化] を選択します。

   

4. [アプリケーションを有効にする] ボックスの一覧で [Microsoft Entra ID] を選択し、[有効にする] をクリックします。

   

5. [はい] をクリックして、 [アクションの確認] ダイアログを閉じます。

   

6. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

7. [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。

8. シングル サインオンのために Concur を既に構成している場合は、検索フィールドで Concur のインスタンスを検索します。 構成していない場合は、 [追加] を選択してアプリケーション ギャラリーで Concur を検索します。 検索結果から Concur を選択してアプリケーションの一覧に追加します。

9. Concur のインスタンスを選択してから、 [プロビジョニング] タブを選択します。

10. [プロビジョニング モード] を [自動] に設定します。

    

11. [管理者の資格情報] セクションの下に、Cincur 管理者の「ユーザー名」と「パスワード」を入力します。

12. [接続テスト] をクリックして、Microsoft Entra ID で Concur アプリに接続できることを確認します。 接続が失敗した場合、使用中の Concur アカウントに Team Admin アクセス許可があることを確認してください。

13. プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを [通知用メール] フィールドに入力して、下のチェック ボックスをオンにします。

14. [保存] をクリックします。

15. [マッピング] セクションで、[Microsoft Entra ユーザーを Concur に同期する] を選択します。

16. [属性マッピング] セクションで、Microsoft Entra ID から Concur に同期されるユーザー属性を確認します。 [照合] プロパティとして選択されている属性は、更新処理で Concur のユーザー アカウントとの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。

17. Concur に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態] を [オン] に変更します

18. [保存] をクリックします。

これでテスト アカウントを作成できるようになりました。 ここで 20 分間待機し、アカウントが Concur に同期されたことを確認します。

その他のリソース

• エンタープライズ アプリのユーザー アカウント プロビジョニングの管理
• Microsoft Entra ID のアプリケーション アクセスとシングル サインオンとは
• シングル サインオンの構成