Microsoft Entra ID SAML接続のインバウンドSCIM

Before you start

この機能を使用するには、Auth0プランまたはカスタム契約にエンタープライズ接続が含まれている必要があります。詳細については、「Auth0の価格設定」ページを参照してください。

インバウンドSCIM接続をテストするには、Postmanがローカルにインストールされている必要があります。

このセクションでは、Microsoft Entra ID(旧Microsoft Azure Active Directory)で非ギャラリーエンタープライズアプリケーションを構成する方法を説明します。これは、ユーザーをAuth0 SCIMエンドポイントにプロビジョニングするために使用できます。

Auth0でSCIM設定を構成する

  1. Auth0 Dashboardを開いて、[Authentication(認証)]>[Enterprise(エンタープライズ)]>[SAML]> [あなたの接続] >[Settings(設定)]に移動します。

  2. ログイン時に追加属性を同期したい場合を除き、[Authentication(認証)]>[Enterprise(エンタープライズ)]>[SAML]> [あなたの接続] >[Provisioning(プロビジョニング)]に進んで、[Sync user profile attributes at each login(ログインの度にユーザープロファイル属性を同期する)]を無効にします。

  3. 同じセクションで、[Sync user profiles using SCIM(SCIMを使ってユーザープロファイルを同期する)]を有効にします。

  4. [Mapping(マッピング)]タブで、[SCIM attribute containing the User ID(ユーザーIDを含むSCIM属性)]設定が[userName]になっていることを確認します。

  5. [Additional Mappings(追加マッピング)]領域に移動して、以下を:

{
		"scim": "emails[primary eq true].value",
		"auth0": "email"
	   },

Was this helpful?

/

以下に置き換えます。

{
		"scim": "emails[type eq \"work\"].value",
		"auth0": "email"
	   },

Was this helpful?

/

6.その他の[Additional Mappings(追加マッピング)]を確認して、SCIMの拡張属性が希望するAuth0属性にマッピングされていることを確かめます。詳しくは、「属性マッピング」をご覧ください。

7.[Save Changes(変更を保存)]を選択します。

SCIMエンドポイントURLとトークンを取得する

Microsoft Entra IDテナントでSCIMを構成するには、Auth0からのSCIMエンドポイントURLとトークンが必要です。これらの値は、Auth0 Dashboard経由で手動で取得することも、Management API経由でプログラム的に取得することもできます。ベストプラクティスは、「導入のガイドライン」セクションをご覧ください。Dashboardを使って以下を行います。

  1. Auth0 Dashboardで、SCIMの[Setup(セットアップ)]タブを参照し、SCIMエンドポイントURLをコピーして、安全な場所に貼り付けます。

  2. [Generate New Token(新しいトークンを生成)]を選択してSCIMトークンを生成してから、必要な場合にはトークンの有効期限を設定します。

  3. Microsoft Entra IDに付与したいスコープを選択します。デフォルトでは、Microsoft Entra IDによって使用されるスコープにはget:userspost:userspatch:users、およびdelete:usersが必要です。

SAMLアプリ用にEntra IDでSCIMを構成する

  1. SAMLアプリケーションがまだ登録されていない場合は、こちらの手順に沿って、Microsoft Entra IDテナントでカスタムの非ギャラリーエンタープライズアプリケーションを登録します。

  2. [Manage(管理)]>[Properties(プロパティ)]タブに移動して、[Assignment Required(割り当て必須)][Yes(はい)]に設定されていることを確認します。

  3. [Manage(管理)]>[Users and Groups(ユーザーとグループ)]タブに移動して、プロビジョニングしたいMicrosoft Entra IDユーザーを割り当てます。グループを割り当てると、そのグループのユーザーがプロビジョニングされます。

  4. [Manage(管理)]>[Provisioning(プロビジョニング)]タブを選択し、[Get started(はじめる)]を選んでから、[Provisioning Mode(プロビジョニングモード)]として[Automatic(自動)]を選択します。

  5. [Admin Credentials(管理者の資格情報)]を選び、[Tenant URL(テナントURL)]として先に保存した[SCIM Endpoint URL(SCIMエンドポイントURL)]の値を入力します。こちらで説明されている既知の問題を修正するために、URLの末尾に?aadOptscim062020

  6. トークン値を[Secret Token(シークレットトークン)]フィールドに貼り付けて、[Save(保存)]

  7. [Mappings(マッピング)]に移動して、[Provision Microsoft Entra ID Users(Microsoft Entra IDユーザーのプロビジョニング)]を選んでから、[Attribute Mappings(属性マッピング)]に進み、emails[type eq "work"].valuemailを含む行を選択します。

  8. [Edit Attribute(属性の編集)]画面で、[Match objects using this attribute(この属性を使用してオブジェクトを一致させる)][Yes(はい)]にし、[Matching precedence(一致の優先度)][2]に設定して、[OK]を選択します。

SAML Azure Attribute Mapping

[Save(保存)]を選択して属性マッピングを保存してから、右上の[X]を選択して[Provisioning(プロビジョニング)]画面に戻ります。

テストを行う

  1. エンタープライズアプリケーションの概要画面で、[Manage(管理)]>[Provisioning(プロビジョニング)]の次に[Provision on Demand(オンデマンドのプロビジョニング)]を選択してSCIM接続をテストします。

  2. [Select a user or group(ユーザーまたはグループを選択)]に移動して、アプリケーションに割り当てたユーザーの名前を入力してから、そのユーザーを選択し、[Provision(プロビジョニング)]を選びます。これで、Auth0テナントにユーザーが作成されます。

  3. 割り当て済みの全ユーザーをこちらの手順に沿ってプロビジョニングし、[Provisioning Status(プロビジョニングステータス)][On(オン)]にします。