チュートリアル: SafeGuard Cyber を構成し、自動ユーザー プロビジョニングに対応させる

  • [アーティクル]

このチュートリアルでは、自動ユーザー プロビジョニングを構成するために SafeGuard Cyber と Microsoft Entra ID の両方で行う必要がある手順について説明します。 構成すると、Microsoft Entra ID で、Microsoft Entra プロビジョニング サービスを使って、SafeGuard Cyber に対するユーザーとグループのプロビジョニングおよびプロビジョニング解除が自動的に行われます。 このサービスが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。

サポートされる機能

  • SafeGuard Cyber でユーザーを作成します。
  • アクセスが不要になった場合に SafeGuard Cyber のユーザーを削除します。
  • Microsoft Entra ID と SafeGuard Cyber の間でユーザー属性の同期を維持します。
  • SafeGuard Cyber でグループとグループ メンバーシップをプロビジョニングします。

前提条件

このチュートリアルで説明するシナリオでは、次の前提条件目があることを前提としています。

手順 1:プロビジョニングのデプロイを計画する

  1. プロビジョニング サービスのしくみを確認します。
  2. プロビジョニングの対象となるユーザーを決定します。
  3. Microsoft Entra ID と SafeGuard Cyber の間でマップするデータを決定してください。

手順 2: Microsoft Entra ID を使用したプロビジョニングをサポートするように SafeGuard Cyber を構成する

Microsoft Entra ID でのプロビジョニングをサポートするように SafeGuard Cyber を構成するには SafeGuard Cyber サポートにお問い合わせください。

Microsoft Entra アプリケーション ギャラリーから SafeGuard Cyber を追加して、SafeGuard Cyber へのプロビジョニングの管理を開始します。 SSO 用の SafeGuard Cyber を以前に設定している場合は、同じアプリケーションを使用できます。 ただし、統合を初めてテストするときは、別のアプリを作成することをお勧めします。 ギャラリーからアプリケーションを追加する方法の詳細については、こちらを参照してください。

手順 4:プロビジョニングの対象となるユーザーを定義する

Microsoft Entra プロビジョニング サービスを使うと、アプリケーションへの割り当てや、ユーザーやグループの属性に基づいて、プロビジョニングされるユーザーのスコープを設定できます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合、以下の手順を使用して、ユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合、こちらで説明されているスコープ フィルターを使用できます。

  • 小さいところから始めましょう。 全員にロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当て済みユーザーとグループに設定される場合、これを制御するには、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てます。 スコープがすべてのユーザーとグループに設定されている場合は、属性ベースのスコープ フィルターを指定できます。

  • 追加のロールが必要な場合、アプリケーション マニフェストを更新して新しいロールを追加できます。

手順 5: SafeGuard Cyber への自動ユーザー プロビジョニングを構成する

このセクションでは、Microsoft Entra プロビジョニング サービスを構成して、Microsoft Entra ID でのユーザー割り当てやグループ割り当てに基づいて TestApp でユーザーやグループが作成、更新、無効化されるようにする手順について説明します。

Microsoft Entra ID で SafeGuard Cyber の自動ユーザー プロビジョニングを構成するには:

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します

    [エンタープライズ アプリケーション] ブレードのスクリーンショット。

  3. アプリケーションの一覧で SafeGuard Cyber を選択します。

    アプリケーションの一覧の SafeGuard Cyber のリンクのスクリーンショット。

  4. [プロビジョニング] タブを選択します。

    [プロビジョニング] タブのスクリーンショット。

  5. [プロビジョニング モード][自動] に設定します。

    [プロビジョニング] タブの [自動] のスクリーンショット。

  6. [管理者資格情報] セクションで、SafeGuard Cyber のテナント URL とシークレット トークンを入力します。 [接続のテスト] をクリックして、Microsoft Entra ID が SafeGuard Cyber に接続できることを確認してください。 接続できない場合は、SafeGuard Cyber アカウントに管理者アクセス許可があることを確認し、再度試します。

    トークンのスクリーンショット。

  7. [通知用メール] フィールドに、プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを入力して、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。

    通知用メールのスクリーンショット。

  8. [保存] を選択します。

  9. [マッピング] セクションで、[Microsoft Entra ユーザーを SafeGuard Cyber に同期する] を選択してください。

  10. [属性マッピング] セクションで、Microsoft Entra ID から SafeGuard Cyber に同期されるユーザー属性を確認してください。 照合プロパティとして選択されている属性は、更新処理で SafeGuard Cyber のユーザー アカウントの照合に使用されます。 一致するターゲットの属性を変更する場合は、その属性に基づいたユーザーのフィルター処理が SafeGuard Cyber API でサポートされていることを確認する必要があります。 [保存] ボタンをクリックして変更をコミットします。

    属性 Type フィルター処理のサポート SafeGuard Cyber で必須
    userName String
    externalId String
    active Boolean
    displayName String
    emails[type eq "work"].value String
    name.givenName String
    name.familyName String
    urn:ietf:params:scim:schemas:extension:safeguard:2.0:User:scimSource String

  11. [マッピング] セクションで、[Microsoft Entra グループを SafeGuard Cyber に同期する] を選択してください。

  12. [属性マッピング] セクションで、Microsoft Entra ID から SafeGuard Cyber に同期されるグループ属性を確認してください。 照合 プロパティとして選択されている属性は、更新処理で SafeGuard Cyber のグループの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。

    属性 Type フィルター処理のサポート SafeGuard Cyber で必須
    displayName String
    externalId String
    members リファレンス

  13. スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの次の手順を参照してください。

  14. SafeGuard Cyber に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニング状態][オン] に変更してください。

    [プロビジョニング状態] トグルのスクリーンショット。

  15. [設定] セクションの [スコープ] で目的の値を選択して、SafeGuard Cyber にプロビジョニングするユーザーとグループ、またはどちらか一方を定義します。

    プロビジョニング スコープのスクリーンショット。

  16. プロビジョニングの準備ができたら、 [保存] をクリックします。

    プロビジョニング設定の保存のスクリーンショット。

この操作により、 [設定] セクションの [スコープ] で定義したすべてのユーザーとグループの初期同期サイクルが開始されます。 初期サイクルは後続の同期よりも実行に時間がかかります。後続のサイクルは、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。

手順 6:デプロイを監視する

プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。

  • プロビジョニング ログを使用して、正常にプロビジョニングされたユーザーと失敗したユーザーを特定します。
  • 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの時間を確認します
  • プロビジョニング構成が異常な状態になったと考えられる場合、アプリケーションは検疫されます。 検疫状態の詳細については、こちらを参照してください。

その他のリソース

次のステップ