Qlik Cloud 向けに Microsoft Entra ID で SCIM プロビジョニングを構成する
SCIM 向けに Qlik Cloud を構成した後、 Microsoft Entra ID (旧 Azure AD) で SCIM プロビジョニングを構成する必要があります。
SCIM のMicrosoft Entra ID 要件
-
P1 サブスクリプションまたはそれ以上の Microsoft Entra ID (旧 Microsoft Azure Active Directory P1)
-
Microsoft Azure Portal にアクセスし、自分の Microsoft Entra ID のためのエンタープライズアプリケーションを作成する許可にアクセスします。
-
Microsoft Entra ID のエンタープライズ アプリケーション レジストリにある 2 つの個別アプリケーション。
SCIM プロビジョニング向けの Microsoft Entra ID 構成ステップ
次の手順を実行します。
-
entra.microsoft.com の Microsoft Entra ID 管理センター に移動します。
-
[ID] > [アプリケーション] > [エンタープライズ アプリケーション] に移動します。
または、一般的な Azure ポータルから入った場合は、Microsoft Entra ID メニューから [エンタープライズ アプリケーション] を選択します。
-
[+ 新しいアプリケーション] をクリックして、プロビジョニング アプリケーションを設定します。
-
Browse Microsoft Entra ID Gallery ページで、 [+ 自分だけのアプリケーションを作成] をクリックします。
-
[自分だけのアプリケーションを作成] ダイアログで、プロビジョニング アプリケーションの名前を入力して、 [ギャラリーにない他のアプリケーションを統合する] を選択します。
-
[作成] をクリックします。
-
プロビジョニングのプロセスを構成するには、[概要] ページの [管理] の [プロビジョニング] を選択します。
-
メニューから、[自動] を選択します。この選択を行うと、構成画面が表示されます。
-
[管理者の資格情報] を入力することにより、構成を開始します。
-
Qlik Cloud で自動プロビジョニングを有効にした際に取得したテナント URL を貼り付けます。
-
トークンを [シークレット トークン] ボックスに貼り付けます。
-
[接続をテスト] をクリックします。
情報メモホスト名が Qlik Cloud テナント エイリアスではありません。ホスト名は、Qlik Cloud テナントの作成時に付与される既定名です -
-
[マッピング] を選択して、 [Microsoft Entra ID ユーザーのプロビジョニング] をクリックして、Qlik Cloud テナントに対する自動プロビジョニング サービスを構成します。
-
Qlik Cloud には、Microsoft Entra ID からのユーザーを同期させるために、以下のように特定の属性セットが必要です。
Qlik Cloudと Microsoft Entra ID 間の SCIM の仕組みは、まずユーザーのメールアドレス (mail) を照合し、ユーザーのグループ メンバーシップや Qlik Cloud へのアクセスに関連する変更をプロビジョニングして同期させます。
情報メモUserPrincipalName が有効なメール アドレスであり、ユーザー認証時に送信される email 属性の値と同じである場合、mail 属性の代わりに UserPrincipalName 属性を使用できます。次のステップで、ユーザー属性マッピングを構成します。
-
属性マッピングの上部セクションで、すべての既定選択肢をそのままにします。
-
[属性マッピング] セクションで、次を除くすべての属性を削除します:
-
userPrincipalName
-
mail
-
Switch([IsSoftDeleted], , "False", "True", "True", "False")
-
Join(" ", [givenName], [surname])
-
mailNickname
これらの属性が削除されない場合、Qlik Cloud および Microsoft Entra ID 間のプロビジョニングおよび同期フローが失敗します。
-
-
userPrincipalName をクリックして、属性構成を開きます。
-
[userPrincipalName 属性構成] ダイアログで、[ソース属性] を objectId に、[一致する優先] 値を 2 に設定します。
[Ok] をクリックして変更を保存します。
-
mail をクリックして、[属性構成] ダイアログを開きます。
-
[mail 属性構成] ダイアログで、[この属性を使ってオブジェクトを一致させる] を はい に、[一致する優先] 値を 1 に設定します。
[Ok] をクリックして変更を保存します。
-
mailNickname をクリックして、属性構成を開きます。
-
[mailNickname 属性構成] ダイアログで、[ソース属性] を objectId に設定します。
[Ok] をクリックして変更を保存します。
-
これらのステップを完了したら、[属性マッピング] セクションが次のように表示されます。
-
構成ページの上部にある [保存] をクリックして、変更を適用します。
-
-
この変更には完全な再同期が必要であるというメッセージが表示される場合があります。これが SCIM with Qlik Cloud の初期構成であるという前提で、[はい] をクリックします。
属性マッピング構成が完了しました。
-
次のステップでは、Microsoft Entra ID から Qlik Cloud にプロビジョニングするユーザーとグループを追加します。
-
プロビジョニングまたはアプリケーション メニューの [管理] セクションで [ユーザーとグループ] をクリックします。
-
[ユーザーとグループ] テーブルが表示されます。[ユーザー/グループの追加] をクリックして、割り当てを追加します。
-
[割り当ての追加] ダイアログで、[選択なし] をクリックしてユーザーとグループを追加します。
[ユーザーとグループ] ダイアログが表示されます。
-
このダイアログで、プロビジョニングするユーザーとグループを検索して追加します。この例では、[Bounty Hunters] グループが選択されています。
[選択] をクリックして、選択を確定します。
-
グループを追加している場合、 [割り当ての追加] ダイアログに、グループに直接追加されたユーザーのみがプロビジョニングされると説明する警告が表示されます。Microsoft Entra ID と SCIM のプロビジョニングは、ネストしたグループのカスケード接続をサポートしません。
-
[割り当て] をクリックして、プロビジョニング アプリケーションにグループを追加します。
グループが、プロビジョニング アプリケーションの [ユーザーとグループ] セクションに表示されます。
-
-
自動プロビジョニングを有効にするには、アプリケーションのプロビジョニング セクションの [概要] に異動して、[プロビジョニングの開始] をクリックします。
情報メモプロビジョニングは、プロビジョニングされるユーザーとグループの数によりますが、最初のプロビジョニング タスクの完了に数分~数時間かかる場合があります。これは、SCIM プロビジョニング機能の限界です。 -
ブラウザでページを更新します。それでもプロビジョニング プロセスが実行されない場合は、メニューから [オンデマンドでプロビジョニング] をクリックします。
-
プロビジョニング プロセスが実行されたら、ブラウザのページ更新で [概要] ページが更新され、ステータスが表示されます。
-
同期をレビューするには、[プロビジョニング ログの表示] をクリックして詳細を表示します。
SCIMトークンの更新
SCIM トークンの有効期限が切れたら、Qlik Cloud で手動で更新する必要があります。次に、Microsoft Entra 管理センターでプロビジョニングの管理者の資格情報に新しいトークンを追加します。
次の手順を実行します。
-
[概要] ページで、[プロビジョニングを編集] をクリックします。
-
[管理者の資格情報] で、新しいトークンを [シークレット トークン] ボックスに貼り付け、[保存] をクリックします。
Qlik Cloud と Microsoft Entra ID 間で SCIM を使用しるベストプラクティス
-
Microsoft Entra ID で SCIM のプロビジョニングするメリットの一つは、 Qlik Cloud のようなターゲットアプリケーションにアクセスするグループを管理者が選択できるようにすることです。時間の経過とともに必要となるユーザーと使用ケースを代表するグループのみを追加することが推奨されます。これにより、Qlik Cloud アクセス制御と資格の管理がはるかに簡単になります。
-
プロビジョニング作業中にユーザーとグループを同期するために時間を延長してとる SCIM のプロビジョニングの準備をしてください。所要時間は Microsoft Entra ID でアプリケーションに追加するユーザーとグループの数によって異なります。
-
Qlik Cloud に多数のユーザーをプロビジョニングする場合、各ユーザーをアプリケーションに手動で追加する必要がないように、多数のユーザーを含むアプリケーションにグループを追加することを検討してください。