チュートリアル:自動ユーザー プロビジョニングに対応するように SolarWinds Service Desk (旧称 Samanage) を構成する

  • [アーティクル]

このチュートリアルでは、自動ユーザー プロビジョニングを構成するために SolarWinds Service Desk (旧称 Samanage) と Microsoft Entra ID の両方で行う必要がある手順について説明します。 構成すると、Microsoft Entra ID で、Microsoft Entra プロビジョニング サービスを使用して、SolarWinds Service Desk に対するユーザーとグループのプロビジョニングおよびプロビジョニング解除が自動的に行われます。 このサービスが実行する内容、しくみ、よく寄せられる質問の重要な詳細については、「Microsoft Entra ID による SaaS アプリへのユーザー プロビジョニングとプロビジョニング解除の自動化」を参照してください。

新しい SolarWinds Service Desk アプリケーションに移行する

SolarWinds Service Desk との既存の統合がある場合は、今後の変更について次のセクションを参照してください。 SolarWinds Service Desk を初めて設定する場合は、このセクションをスキップして、「サポートされる機能」に進むことができます。

変更点

  • Microsoft Entra ID 側での変更: Samange でユーザーをプロビジョニングするための認証方法は、これまでは Basic 認証でした。まもなく、認証方法が有効期間の長いシークレット トークンに変更されます。

既存のカスタム統合を新しいアプリケーションに移行するには、どうすればよいですか?

有効な管理者資格情報を持つ既存の SolarWinds Service Desk 統合がある場合、操作は必要はありません。 新しいアプリケーションに顧客が自動的に移行されます。 この処理は、完全にバックグラウンドで実行されます。 既存の資格情報の有効期限が切れている場合、またはアプリケーションへのアクセスを再度承認する必要がある場合は、有効期間の長いシークレット トークンを生成する必要があります。 新しいトークンを生成するには、この記事の手順 2 を参照してください。

アプリケーションが移行されたかどうかを確認するにはどうすればよいですか?

アプリケーションを移行すると、 [管理者資格情報] セクションで、 [管理ユーザー名][管理パスワード] フィールドが、1 つの [シークレット トークン] フィールドに置き換えられます。

サポートされる機能

  • SolarWinds Service Desk でユーザーを作成する
  • アクセスが不要になったユーザーを SolarWinds Service Desk から削除する
  • Microsoft Entra ID と SolarWinds Service Desk の間でユーザー属性の同期を維持する
  • SolarWinds Service Desk でグループとグループ メンバーシップをプロビジョニングする
  • SolarWinds Service Desk へのシングル サインオン (推奨)

前提条件

このチュートリアルで説明するシナリオでは、次の前提条件目があることを前提としています。

Note

ロールのインポートを行う際に、Microsoft Entra ID でロールを手動で編集することは避けてください。

手順 1:プロビジョニングのデプロイを計画する

  1. プロビジョニング サービスのしくみを確認します。
  2. プロビジョニングの対象となるユーザーを決定します。
  3. Microsoft Entra ID と SolarWinds Service Desk の間でマップするデータを決定します。

手順 2: Microsoft Entra ID を使用したプロビジョニングをサポートするように SolarWinds Service Desk を構成する

認証用のシークレット トークンを生成するには、API 統合のトークン認証に関するチュートリアルを参照してください。

Microsoft Entra アプリケーション ギャラリーから SolarWinds Service Desk を追加し、SolarWinds Service Desk へのプロビジョニングの管理を開始します。 以前に SSO に対応するように SolarWinds Service Desk を設定した場合は、同じアプリケーションを使用できます。 ただし、統合を初めてテストするときは、別のアプリを作成することをお勧めします。 ギャラリーからアプリケーションを追加する方法の詳細については、こちらを参照してください。

手順 4:プロビジョニングの対象となるユーザーを定義する

Microsoft Entra プロビジョニング サービスを使うと、アプリケーションへの割り当てや、ユーザーやグループの属性に基づいて、プロビジョニングされるユーザーのスコープを設定できます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合、以下の手順を使用して、ユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合、こちらで説明されているスコープ フィルターを使用できます。

  • 小さいところから始めましょう。 全員にロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当て済みユーザーとグループに設定される場合、これを制御するには、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てます。 スコープがすべてのユーザーとグループに設定されている場合は、属性ベースのスコープ フィルターを指定できます。

  • 追加のロールが必要な場合は、アプリケーション マニフェストを更新して新しいロールを追加できます。

手順 5: SolarWinds Service Desk への自動ユーザー プロビジョニングを構成する

このセクションでは、Microsoft Entra ID でのユーザーまたはグループ割り当てに基づいて、TestApp でユーザーまたはグループが作成、更新、無効化されるように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。

Microsoft Entra ID で SolarWinds Service Desk の自動ユーザー プロビジョニングを構成するには:

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します

    [エンタープライズ アプリケーション] ブレード

  3. アプリケーションの一覧で SolarWinds Service Desk を選択します。

  4. [プロビジョニング] タブを選択します。

    選択されている [プロビジョニング] タブを示すスクリーンショット。

  5. [プロビジョニング モード][自動] に設定します。

    [プロビジョニング モード] が [自動] に設定されていることを示すスクリーンショット。

  6. [管理者資格情報] セクションの [テナントの URL] に「https://api.samanage.com」と入力します。 前に取得したシークレット トークンの値を、 [シークレット トークン] に入力します。 [接続のテスト] を選択して、Microsoft Entra ID が SolarWinds Service Desk に接続できることを確かめます。 接続できない場合は、使用中の SolarWinds Service Desk アカウントで管理者アクセス許可を確保してから、もう一度試します。

    [テスト接続] ボタンが選択されていることを示すスクリーンショット。

  7. [通知用メール] フィールドに、プロビジョニングのエラー通知を受け取るユーザーまたはグループの電子メール アドレスを入力して、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。

    通知用メール

  8. [保存] を選択します。

  9. [マッピング] セクションで、[Microsoft Entra ユーザーを SolarWinds Service Desk に同期する] を選択します。

  10. [属性マッピング] セクションで、Microsoft Entra ID から SolarWinds Service Desk に同期されるユーザー属性を確認します。 [Matching](照合) プロパティとして選択されている属性は、更新処理で SolarWinds Service Desk のユーザー アカウントとの照合に使用されます。 一致する対象の属性を変更する場合は、その属性に基づいたユーザーのフィルター処理が確実に SolarWinds Service Desk API でサポートされているようにする必要があります。 [保存] ボタンをクリックして変更をコミットします。

    Samanage のユーザー マッピング

  11. マッピング セクションで、Microsoft Entra グループを SolarWinds Service Desk に同期する を選びます。

  12. [属性マッピング] セクションで、Microsoft Entra ID から SolarWinds Service Desk に同期されるグループ属性を確認します。 [Matching](照合) プロパティとして選択されている属性は、更新処理で SolarWinds Service Desk のグループとの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。

    Samange のグループ マッピング

  13. スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの次の手順を参照してください。

  14. SolarWinds Service Desk に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態][オン] に変更します。

    プロビジョニングの状態を [オン] に切り替える

  15. [設定] セクションの [スコープ] で目的の値を選択して、SolarWinds Service Desk にプロビジョニングするユーザーやグループを定義します。

    プロビジョニングのスコープ

  16. プロビジョニングの準備ができたら、 [保存] を選択します。

    プロビジョニング構成の保存

この操作により、 [設定] セクションの [スコープ] で定義したすべてのユーザーとグループの初期同期サイクルが開始されます。 初期サイクルは後続の同期よりも実行に時間がかかります。後続のサイクルは、Microsoft Entra のプロビジョニング サービスが実行されている限り約 40 分ごとに実行されます。

手順 6:デプロイを監視する

プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。

  1. プロビジョニング ログを使用して、正常にプロビジョニングされたユーザーと失敗したユーザーを特定します。
  2. 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの時間を確認します。
  3. プロビジョニング構成が異常な状態になったと考えられる場合、アプリケーションは検疫されます。 検疫状態の詳細については、こちらを参照してください。

コネクタの制限事項

[すべてのユーザーとグループを同期する] オプションを選択し、SolarWinds Service Desk のロール属性に値を構成した場合、 [null の場合の既定値 (オプション)] ボックスの値は次の形式で表現する必要があります。

  • {"displayName":"role"}。この role は使用する既定値です。

ログの変更

  • 2020 年 9 月 14 日 - https://github.com/ravitmorales に従い、2 つの SaaS チュートリアルに記載されている会社名を Samanage から SolarWinds Service Desk (旧称 Samanage) に変更しました。
  • 2020 年 4 月 22 日 - 基本認証から有効期間の長いシークレット トークンへ承認方法を更新しました。

その他のリソース

次のステップ