Entra ID (旧 Azure) との SCIM プロビジョニング

この記事では、Azure SCIMアプリを使用してユーザーおよびグループ情報を自動的に同期し、Entra IDからCatoアカウントへのユーザーおよびグループのプロビジョニングを行う方法を説明します。

サポートされている機能

Cato 管理アプリケーションでユーザーを作成および無効にする
Azure ADからCato管理画面へのユーザーおよび属性の同期
Azure へのシングルサインオン (SSO)
ユーザーは、Azureの設定によって電子メールまたはUPNで認証できます。

前提条件

Azure SCIMアプリを作成する前に、これらのアイテムが準備完了であることを確認してください。

Entra ID テナント
ユーザープロビジョニングを構成するための Entra ID 権限

制限事項

IdPアプリケーションからユーザーを削除すると、Cato管理画面でそのユーザーが無効になります（SCIMアプリからのユーザーまたはユーザーグループの削除を参照）。
LDAP 同期を使用するアカウントの場合、SCIM プロビジョニングを有効にすると、この同期がアカウントで無効になります。
- ユーザー認識のための LDAP 同期は通常通り機能し、SCIM プロビジョニングの影響を受けません。
ネストされたグループのプロビジョニングはサポートされていません
SCIM 同期は、同じ名前の既存の LDAP グループを上書きします。詳細情報については、「SCIM 同期が既存の LDAP グループをどのように上書きするか」を参照してください
SCIM プロビジョニングされたユーザーは、WMI ベースのユーザー認識で識別されません。 SCIMを使用したユーザー認識は、Cato アイデンティティ・エージェントを使用してサポートされます。
オンデマンドプロビジョニングは、ユーザーをユーザグループに割り当てることをサポートしていません

ユーザー同期の計画

このセクションでは、Entra IDをCatoアカウントと同期するプランの立て方について説明します。 Azure と Cato 間のユーザー同期のプランに関してさらに詳しくは、次の Microsoft 記事を参照してください：

ユーザー同期のためのユーザーおよびグループの定義

Entra ID は以下の方法で Cato と同期に含まれるユーザーを定義できます：

Entra ID アプリにユーザーを割り当てる
ユーザーまたはグループの属性に基づいてユーザーをフィルター処理する

Cato とユーザー同期を計画するプロセスの一環として、少人数のユーザーグループから始めることをお勧めします。上記の方法に基づいて、以下を実行できます：

いくつかのユーザーを Entra ID アプリに割り当てる
少数のユーザーと一致する属性ベースのスコープフィルターを作成する

CatoをCato SCIMアプリで自動ユーザー同期を設定

Entra ID をCato アカウントに接続して、間でユーザーを同期できます。 Azure ギャラリーにCato SCIM アプリをアカウントに追加し、Cato アカウントへの接続を構成します。 Azure は 40 分ごとに自動ユーザー同期を開始します。

その後、同期される Entra ID グループおよびユーザーを定義し、自動プロビジョニングを有効にできます。

あなたのアイデンティティプロバイダ（IdP）のユーザーステータスがあなたのCatoアカウントに自動的に同期されます。たとえば、IdP でユーザーを無効にすると、それらが Cato アカウントに無効として同期されます。

注: SCIMグループ内のユーザーの総数をAzureとCMAのSCIMグループで比較する場合、CMAのSCIMグループにはより少ないユーザーが含まれることを注記してください。これは、無効なユーザーを考慮に入れないためです。それらのユーザーは同期され、その後無効になった、または常に無効だったユーザーです。

Cato SCIM アプリの設定

Azure ギャラリーから Cato SCIM アプリの設定を構成し、ユーザーをCatoに自動的に同期するようにアプリを設定します。

Cato管理画面で SCIM プロビジョニングを有効にし、URL とトークンを Cato SCIM アプリの管理者資格情報セクションにコピーします。

既存のアプリに新しい属性を追加するには、SCIMアプリを更新します。

Cato管理画面をSCIMアプリに接続するには：

Azureポータルから、エンタープライズアプリケーションに移動します。
新しいアプリケーションに移動し、Cato Networksプロビジョニングアプリを検索して、作成をクリックします。
Cato管理画面で、ナビゲーションメニューからアクセス > ディレクトリサービスを選択し、SCIMタブをクリックします。
SCIMプロビジョニングの有効化を選択し、アカウントをSCIMアプリへの接続に設定します。
保存をクリックしてください。
SCIM URLとトークンをコピーして空のテキストファイルに貼り付けます。
1. ベース URLを含む, コピーアイコンをクリックして SCIM URL をクリップボードにコピーし、テキストファイルに貼り付けます。
2. Bearer Tokenを含む, コピーアイコンをクリックして、ユニークなアカウントトークンをクリップボードにコピーし、テキストファイルに貼り付けます。
Azureで、SCIMアプリのプロビジョニングセクションに移動し、SCIM URLとトークンを貼り付けます。
1. テナントURLにURLを貼り付けます。
2. シークレットトークンにトークンを貼り付けます。
3. 保存をクリックしてください。
Azureで接続のテストをクリックし、Azure ADがCato SCIMアプリに接続できることを確認します。
アプリで自動プロビジョニングを有効にします。
1. ナビゲーションメニューから、プロビジョニングを選択します。
2. プロビジョニング画面で、開始をクリックします。
3. プロビジョニングモードドロップダウンメニューから、自動を選択します。
4. 保存をクリックしてください。
アプリにグループとユーザーを割り当てます。

ユーザーをCatoアカウントにプロビジョニング

Cato SCIMアプリがアカウントに接続された後、自動プロビジョニングを有効にし、同期されるユーザーとグループを選択します。

ユーザーをCatoアカウントにプロビジョニングするには：

Cato SCIMアプリで、プロビジョニングセクションに移動します。
プロビジョニングステータスで、プロビジョニングの開始をクリックします。

Azure ADとCatoアカウント間の初期同期が開始されます。

既存のSCIMアプリの更新

以下の手順を使用して、既存のMicrosoft Entra ID SCIMアプリケーションの属性リストと属性マッピングを更新し、追加のユーザー属性をCatoにプロビジョニングします。これは、Catoで使用される最新の属性（例えば、職種や部門）へのアクセスを得るために必要です。

注意

注: SCIMアプリケーションが2025年11月以前に作成された場合、新しいSCIMアプリケーションを作成し、以下に説明するように属性を設定する必要があります。

既存のSCIMアプリを更新：

Azureポータルから、エンタープライズアプリケーション > すべてのアプリケーションに移動し、Cato SCIMアプリを選択します。
プロビジョニングをクリックしてから、属性マッピングをクリックします。
属性マッピングページで、高度なオプションを表示チェックボックスを選択し、属性リストを編集 <appName>をクリックします。
属性を追加し、タイプドロップダウンから関連する値を選択します。

追加したい属性ごとにこのプロセスを繰り返します。
保存をクリックしてください。
属性マッピングページで、属性を編集をクリックします。
属性を編集ページで、ソース属性を選択し、ターゲット属性にマッピングします。

例えば、ソースとしてjobTitleを選択し、ターゲットのタイトルにマッピングします。

追加したい属性ごとにこのプロセスを繰り返します。
保存をクリックしてください。
プロビジョニングされたユーザーおよびグループをアカウントに。

SCIMプロビジョニング属性のレビュー

Cato SCIMアプリを設定した後、Entra IDとCato管理アプリケーションの間のSCIMプロビジョニング属性のマッピングを確認できます。

Azure AD属性	Catoユーザー属性	ユーザーに関するメモ
userPrincipalName	ユーザー名	ユーザーのユーザー名
Coalesce([mail], [userPrincipalName])	emails[type eq "work"].value	メールアドレス
givenName	name.givenName	名
surname	name.familyName	姓
telephoneNumber	phoneNumbers[type eq "work"].value	電話番号（プレフィックスを含む）
objectId	externalId	ユーザーのID（イベントで使用されます）
Switch([IsSoftDeleted], , "False", "True", "True", "False")	アクティブ	SCIMアプリの割り当て解除されたユーザーは、以下のパラメータでソフト削除されます: "False", "True", "True", "False"
onPremisesSecurityIdentifier	onPremisesSecurityIdentifier
dirSyncEnabled	dirSyncEnabled
jobTitle	タイトル
部門	urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department

SDPライセンスの割り当て

IdPで、Catoアカウントと同期されるグループとユーザーを定義します。初期同期が完了した後、すべてのユーザーがCato管理アプリケーションに作成され、ユーザーディレクトリページで表示されます。

その後、SDPライセンスをユーザーに割り当てることができます。詳しくは、ユーザーへのZTNAライセンスの割り当てを参照してください。

SCIMアプリからユーザーまたはユーザーグループを削除する

注意

重要: ユーザーは CMA 内で削除できますが、SCIM アプリでプロビジョニングされたユーザーやユーザーグループをCato管理画面から直接削除することをお勧めします。

SCIMアプリを使用してあなたのCatoアカウントにプロビジョニングされたユーザーまたはユーザーグループを削除する場合、アプリ内でそれらを割り当て解除してください。ユーザーとユーザーグループは、SCIMアプリが次にあなたのアカウントと同期する際に自動的に無効になります。

あなたのCatoアカウントに同期されたユーザーやユーザーグループを削除するには:

Cato SCIMアプリで、ユーザーまたはユーザーグループを割り当て解除します。

次回の同期時に、SCIMアプリはあなたのCatoアカウントでユーザーまたはユーザーグループを無効にします。
（オプション）ユーザーまたはグループが無効になった後、Cato管理画面から削除できます。

ユーザーまたはユーザーグループを手動で削除できるようになるまで最大で15分かかることがあります。

SCIMプロビジョニングのイベントを理解する

Cato管理画面は、ユーザーおよびグループがクライアント接続ポリシーの要件を満たさないためにブロックされた場合、イベントを生成します。

毎時、Cato管理画面はSCIMプロビジョニングのアクション（成功または失敗）の概要を示す電子メールアラートを送信します。

以下のテーブルは、異なるイベントを説明します。

イベントタイプ	アクション	説明
SCIMプロビジョニング	成功	SCIMアプリを使用して、ユーザーまたはグループをアカウントに同期するアクションが成功しました。
SCIMプロビジョニング	失敗	SCIMアプリがIdPをあなたのアカウントに同期することに失敗しました。イベントメッセージは同期失敗の理由を説明します。
SCIMプロビジョニング	無効	IdPで無効にされたユーザーが正常に同期され、あなたのCatoアカウントで無効化されました。