チュートリアル:Contentful を構成して自動ユーザー プロビジョニングに対応させる
この記事では、自動ユーザー プロビジョニングを構成するために Contentful と Microsoft Entra ID で完了する必要がある手順について説明します。 構成すると、Microsoft Entra ID で、Microsoft Entra プロビジョニング サービスを使用して、Contentful に対するユーザーおよびグループのプロビジョニングおよびプロビジョニング解除が自動的に行われます。 このサービスが実行する内容および動作方法についての重要な情報と、よく寄せられる質問については、Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化に関する記事を参照してください。
サポートされる機能
- Contentful でユーザーを作成する
- アクセスが不要になった場合に Contentful のユーザーを削除する
- Microsoft Entra ID と Contentful の間でユーザー属性の同期を維持する
- Contentful でグループとグループ メンバーシップをプロビジョニングする
- Contentful にシングル サインオンする (推奨)
前提条件
このチュートリアルで説明するシナリオでは、次の前提条件目があることを前提としています。
- Microsoft Entra テナント。
- 次のいずれかのロール: アプリケーション管理者、クラウド アプリケーション管理者、アプリケーション所有者。
- クロスドメイン ID 管理システム (SCIM) のプロビジョニングをサポートするサブスクリプションを持つ Contentful 組織アカウント。 組織のサブスクリプションについてご質問がある場合は、Contentful サポートにご連絡ください。
プロビジョニングのデプロイを計画する
- プロビジョニング サービスのしくみを確認します。
- プロビジョニングの対象となるユーザーを決定します。
- Microsoft Entra ID と Contentful の間でマップするデータを決定します。
Microsoft Entra ID を使用したプロビジョニングをサポートするように Contentful を構成する
Contentful でサービス ユーザー アカウントを作成します。 Azure のすべてのプロビジョニング アクセス許可は、このアカウントを通じて提供されます。 所有者 を、このアカウントの組織ロールとして選択することをお勧めします。
サービス ユーザーとして Contentful にサインインします。
左側のメニューで、 [組織の設定]>[アクセス ツール]>[ユーザーのプロビジョニング] を選択します。
![[アクセス ツール] の下で [ユーザーのプロビジョニング] が強調表示された、Contentful の [組織の設定] メニューのスクリーンショット。](media/contentful-provisioning-tutorial/access.png)
SCIM URL をコピーし、保存します。 この値は、Azure portal 内で Contentful アプリケーションの [プロビジョニング] タブに入力します。
[個人用アクセス トークンの生成] を選択します。
モーダル ウィンドウで、個人用アクセス トークンの名前を入力し、 [生成] を選択します。
SCIM URL とシークレット トークンが生成されます。 これらの値をコピーし、保存します。 これらの値は、Contentful アプリケーションの [プロビジョニング] タブに入力します。
![C F P A T とトークン プレースホルダー名が強調表示された、[個人用アクセス トークン] ウィンドウのスクリーンショット。](media/contentful-provisioning-tutorial/token.png)
Contentful 管理コンソールでプロビジョニングを構成するときにご質問がある場合は、Contentful サポートにお問い合わせください。
Microsoft Entra アプリケーション ギャラリーから Contentful を追加する
Contentful へのプロビジョニングを管理するには、Microsoft Entra アプリケーション ギャラリーから Contentful を追加します。 以前に Contentful をシングル サインオン用に設定している場合は、同じアプリケーションを使用できます。 ただし、統合を初めてテストするには別のアプリを作成することをお勧めします。 ギャラリーでのアプリケーションの追加方法について説明します。
プロビジョニングの対象となるユーザーを定義する
Microsoft Entra プロビジョニング サービスを使うと、アプリケーションへの割り当てや、ユーザーまたはグループの属性に基づいて、プロビジョニングされるユーザーのスコープを設定できます。
割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合、手順を完了して、ユーザーとグループをアプリケーションに割り当てます。
ユーザーまたはグループの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合、スコープ フィルターを使用して、ユーザー アカウントをプロビジョニングするための条件付き規則を定義します。
- Contentful にユーザーとグループを割り当てるときは、既定のアクセス以外のロールを選択する必要があります。 既定のアクセス ロールを持つユーザーは、プロビジョニングから除外され、プロビジョニング ログで実質的に資格がないと示されます。 アプリケーションで使用できる唯一のロールが既定のアクセス ロールである場合は、アプリケーション マニフェストを更新してロールを追加することができます。
- 小さいところから始めましょう。 全員にロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニング スコープが割り当て済みユーザーとグループに設定される場合、スコープを制御するには、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てます。 スコープがすべてのユーザーとグループに設定されている場合は、属性ベースのスコープ フィルターを指定できます。
Contentful への自動ユーザー プロビジョニングを構成する
このセクションでは、Microsoft Entra ID でのユーザーやグループの割り当てに基づいて、TestApp でユーザーやグループが作成、更新、無効化されるように Microsoft Entra プロビジョニング サービスを設定する手順について説明します。
Microsoft Entra ID で Contentful の自動ユーザー プロビジョニングを構成する
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
[ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
![[すべてのアプリケーション] が強調表示されている、Azure portal の [エンタープライズ アプリケーション] メニューを示したスクリーンショット。](common/enterprise-applications.png)
アプリケーションの一覧で [Contentful] を選択します。
[プロビジョニング] タブを選択します。
![左側のメニューの [管理] セクションに強調表示された [プロビジョニング] タブのスクリーンショット。](common/provisioning.png)
[プロビジョニング モード] を [自動] に設定します。
![[自動] が強調表示されている、[プロビジョニング モード] オプションを示したスクリーンショット。](common/provisioning-automatic.png)
[管理者資格情報] セクションで、Contentful のテナントの URL とシークレット トークンを入力します。 Microsoft Entra ID から Contentful へ接続できることを確認するために、[テスト接続] を選びます。 接続できない場合は、使用中の Contentful アカウントに "管理者" アクセス許可があることを確認してから、もう一度試します。
![[テスト接続] ボタンが強調表示されている、[テナント URL] および [秘密トークン] テキスト ボックスを示すスクリーンショット。](common/provisioning-testconnection-tenanturltoken.png)
[通知用メール] に、プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを入力して、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。
![[通知用メール] テキスト ボックスを示すスクリーンショット。](common/provisioning-notification-email.png)
[保存] を選択します。
[マッピング] セクションで、[Microsoft Entra ユーザーを Contentful に同期する] を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から Contentful に同期されるユーザー属性を確認します。 [照合] プロパティとして選択されている属性は、更新処理で Contentful のユーザー アカウントとの照合に使用されます。 一致する対象の属性を変更する場合は、その属性に基づいたユーザーのフィルター処理が確実に Contentful API でサポートされているようにする必要があります。 [保存] ボタンをクリックして変更をコミットします。
属性 Type フィルター処理のサポート userName String ✓ name.givenName String name.familyName String [マッピング] セクションで、[Microsoft Entra グループを Contentful に同期する] を選択します。
[属性マッピング] セクションで、Microsoft Entra ID から Contentful に同期されるグループ属性を確認します。 [照合] プロパティとして選択されている属性は、更新処理で Contentful のグループとの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。
属性 Type フィルター処理のサポート displayName String ✓ members リファレンス スコープ フィルターを設定するには、スコープ フィルターのチュートリアルで説明している手順を行います。
Contentful に対して Microsoft Entra プロビジョニング サービスを有効にするには、 [設定] セクションで [プロビジョニング状態] を [オン] に変更します。
![[プロビジョニングの状態] が [オン] と [オフ] に設定された画面のスクリーンショット。](common/provisioning-toggle-on.png)
Contentful にプロビジョニングするユーザーまたはグループを定義するには、 [設定] セクションの [スコープ] で適切なオプションを選択します。
![[スコープ] ウィンドウで選択できるオプションを示すスクリーンショット。](common/provisioning-scope.png)
プロビジョニングの準備ができたら、 [保存] を選択します。
![[保存] ボタンと [キャンセル] ボタンを示すスクリーンショット。](common/provisioning-configuration-save.png)
この操作により、 [設定] の [スコープ] で定義したすべてのユーザーとグループの初期同期サイクルが開始されます。 初期サイクルは後続の同期よりも実行に時間がかかります。後続のサイクルは、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。
デプロイを監視する
プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。
- 正常にプロビジョニングされたユーザーと失敗したユーザーを特定するには、プロビジョニング ログを確認します。
- プロビジョニング サイクルの状態と完了までの時間を確認するには、進行状況バーを確認します。
- プロビジョニング構成が異常な状態になったと考えられる場合、アプリケーションは検疫されます。 検疫状態の詳細については、こちらをご覧ください。
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示