チュートリアル:自動ユーザー プロビジョニング用に New Relic by Organization を構成する

  • [アーティクル]

このチュートリアルでは、自動ユーザー プロビジョニングを構成するために New Relic by Organization と Microsoft Entra ID の両方で行う必要がある手順について説明します。 構成すると、Microsoft Entra ID で、Microsoft Entra プロビジョニング サービスを使用して、New Relic by Organization に対するユーザーおよびグループのプロビジョニングおよびプロビジョニング解除が自動的に行われます。 このサービスが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。

サポートされる機能

  • New Relic by Organization にユーザーを作成する
  • アクセスが不要になった場合に New Relic by Organization のユーザーを削除する
  • Microsoft Entra ID と New Relic by Organization の間でユーザー属性の同期を維持する
  • New Relic by Organization でグループとグループ メンバーシップをプロビジョニングする
  • New Relic by Organization にシングル サインオンする (推奨)

前提条件

このチュートリアルで説明するシナリオでは、次の前提条件目があることを前提としています。

手順 1:プロビジョニングのデプロイを計画する

  1. プロビジョニング サービスのしくみを確認します。
  2. プロビジョニングの対象となるユーザーを決定します。
  3. Microsoft Entra ID と New Relic by Organization の間でマップするデータを決定します。

手順 2: Microsoft Entra ID を使用したプロビジョニングをサポートするように New Relic by Organization を構成する

アカウント担当者と協力するか、support.newrelic.com でサポートを受けて、組織用に SCIM と SSO を構成します。 アカウント担当者に以下を提供する必要があります。

  • 組織名
  • 組織に関連付ける New Relic アカウント ID の一覧

アカウント担当者は、この情報を使用して、新しいシステムにお客様の組織のレコードを作成し、その組織にアカウントを関連付けます。

アカウント担当者は次の情報を提供します。これは、ID プロバイダー用に New Relic SCIM および SSO アプリケーションを構成するために必要になります。

  • SCIM エンドポイント (テナント URL)
  • SCIM ベアラー トークン (シークレット トークン)

SCIM ベアラー トークンにより、New Relic でのユーザーのプロビジョニングが許可されるため、この値はセキュリティで保護してください。 アカウント担当者は、安全な方法で SCIM ベアラー トークンをお客様に転送します。

Microsoft Entra アプリケーション ギャラリーから New Relic by Organization を追加して、New Relic by Organization へのプロビジョニングの管理を開始します。 SSO のために New Relic by Organization を以前に設定している場合は、その同じアプリケーションを使用することができます。 ただし、統合を初めてテストするときは、別のアプリを作成することをお勧めします。 ギャラリーからアプリケーションを追加する方法の詳細については、こちらを参照してください。

手順 4:プロビジョニングの対象となるユーザーを定義する

Microsoft Entra プロビジョニング サービスを使うと、アプリケーションへの割り当てや、ユーザーやグループの属性に基づいて、プロビジョニングされるユーザーのスコープを設定できます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合、以下の手順を使用して、ユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合、こちらで説明されているスコープ フィルターを使用できます。

  • 小さいところから始めましょう。 全員にロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当て済みユーザーとグループに設定される場合、これを制御するには、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てます。 スコープがすべてのユーザーとグループに設定されている場合は、属性ベースのスコープ フィルターを指定できます。

  • 追加のロールが必要な場合は、アプリケーション マニフェストを更新して新しいロールを追加できます。

手順 5: New Relic by Organization への自動ユーザー プロビジョニングを構成する

このセクションでは、Microsoft Entra ID でのユーザー割り当てやグループ割り当てに基づいて、TestApp でユーザーが作成、更新、無効化されるように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。

Microsoft Entra ID で New Relic by Organization 用に自動ユーザー プロビジョニングを構成するには:

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します

    [エンタープライズ アプリケーション] ブレード

  3. アプリケーションの一覧で [New Relic by Organization] を選択します。

    アプリケーションの一覧の New Relic のリンク

  4. [プロビジョニング] タブを選択します。

    [プロビジョニング] オプションが強調表示された [管理] オプションのスクリーンショット。

  5. [プロビジョニング モード][自動] に設定します。

    [自動] オプションが強調表示された [プロビジョニング モード] ドロップダウン リストのスクリーンショット。

  6. [管理者資格情報] セクションの [テナントの URL] に「https://scim-provisioning.service.newrelic.com/scim/v2」と入力します。 [シークレット トークン] に先ほど取得した SCIM 認証トークンの値を入力します。 [接続テスト] をクリックして、Microsoft Entra ID で New Relic に接続できることを確認します。 接続に失敗した場合は、確実に New Relic アカウントに管理者アクセス許可を付与してから、もう一度試します。

    テナント URL とシークレット トークンを入力できる場所である [管理者資格情報] ダイアログ ボックスを示すスクリーンショット。

  7. [通知用メール] フィールドに、プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを入力して、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。

    通知用メール

  8. [保存] を選択します。

  9. [マッピング] セクションで、[Synchronize Microsoft Entra users to Parsable] (Microsoft Entra ユーザーを New Relic by Organization に同期する) を選択します。

  10. [属性マッピング] セクションで、Microsoft Entra ID から New Relic by Organization に同期されるユーザー属性を確認します。 [Matching](照合) プロパティとして選択されている属性は、更新操作で New Relic by Organization のユーザー アカウントとの照合に使用されます。 一致するターゲット属性を変更する場合は、その属性に基づいたユーザーのフィルター処理が確実に New Relic by Organization API でサポートされるようにする必要があります。 [保存] ボタンをクリックして変更をコミットします。

    属性 Type
    userName String
    externalId String
    active Boolean
    emails[type eq "work"].value String
    name.givenName String
    name.formatted String
    timezone String

  11. [マッピング] セクションで、[Synchronize Microsoft Entra groups to Parsable] (Microsoft Entra グループを New Relic by Organization に同期する) を選択します。

  12. [属性マッピング] セクションで、Microsoft Entra ID から New Relic by Organization に同期されるグループ属性を確認します。 [Matching](照合) プロパティとして選択されている属性は、更新操作で New Relic by Organization のグループとの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。

    属性 Type
    displayName String
    externalId String
    members リファレンス

  13. スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの次の手順を参照してください。

  14. New Relic by Organization に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態][オン] に変更します。

    プロビジョニングの状態を [オン] に切り替える

  15. [設定] セクションの [スコープ] で目的の値を選択して、New Relic by Organization にプロビジョニングするユーザーやグループを定義します。

    プロビジョニングのスコープ

  16. プロビジョニングの準備ができたら、 [保存] をクリックします。

    プロビジョニング構成の保存

この操作により、 [設定] セクションの [スコープ] で定義したすべてのユーザーとグループの初期同期サイクルが開始されます。 初期サイクルは後続の同期よりも実行に時間がかかります。後続のサイクルは、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。

手順 6:デプロイを監視する

プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。

  • プロビジョニング ログを使用して、正常にプロビジョニングされたユーザーと失敗したユーザーを特定します。
  • 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの時間を確認します。
  • プロビジョニング構成が異常な状態になったと考えられる場合、アプリケーションは検疫されます。 検疫状態の詳細については、こちらを参照してください。

その他のリソース

次のステップ