Entra ID (旧 Azure) との SCIM プロビジョニング

この記事では、Azure SCIMアプリを使用してユーザーおよびグループ情報を自動的に同期し、Entra IDからCatoアカウントへのユーザーおよびグループのプロビジョニングを行う方法を説明します。

サポートされる機能

  • Cato管理画面でユーザーの作成と無効化
  • Azure ADからCato管理画面へのユーザーと属性の同期
  • Azureへのシングルサインオン (SSO)
  • ユーザーは、Azure設定に応じて、メールまたはUPNで認証できます。

前提条件

Azure SCIMアプリを作成する前に、これらのアイテムが準備完了であることを確認してください。

  • Entra IDテナント
  • ユーザープロビジョニングを設定するためのEntra ID権限

制限事項

  • IdPアプリケーションからユーザーを削除すると、Cato管理画面でユーザーを無効にします。

  • LDAP 同期を使用するアカウントの場合、SCIM プロビジョニングを有効にすると、この同期がアカウントで無効になります。

    • LDAP同期によるUser Awarenessは通常通り機能し、SCIMプロビジョニングによる影響はありません。
  • ネストされたグループのプロビジョニングはサポートされていません。
  • SCIM同期は、同じ名前の既存LDAPグループを上書きします。 詳細は、既存のLDAPグループを上書きするSCIM同期の方法を参照してください。
  • SCIMプロビジョニングされたユーザーは、WMIベースのUser Awarenessで特定されません。 SCIMによるUser Awarenessは、Cato アイデンティティ・エージェントを使用してサポートされています。
  • オンデマンドプロビジョニングは、ユーザーをユーザーグループに割り当てることをサポートしていません。

ユーザー同期の計画

このセクションでは、Entra IDをCatoアカウントと同期するプランの立て方について説明します。 Azure と Cato 間のユーザー同期のプランに関してさらに詳しくは、次の Microsoft 記事を参照してください:

ユーザー同期のためのユーザーとグループの定義

Entra ID は以下の方法で Cato と同期に含まれるユーザーを定義できます:

Cato とユーザー同期を計画するプロセスの一環として、少人数のユーザーグループから始めることをお勧めします。 上記の方法に基づいて、以下を実行できます:

  • Entra IDアプリに少数のユーザーを割り当てる
  • 少数のユーザーにのみ一致する属性ベースのスコープフィルターを作成する

CatoのSCIMアプリを使用して自動ユーザー同期を設定する

Entra ID をCato アカウントに接続して、間でユーザーを同期できます。 Azure ギャラリーにCato SCIM アプリをアカウントに追加し、Cato アカウントへの接続を構成します。 Azure は 40 分ごとに自動ユーザー同期を開始します。

その後、同期される Entra ID グループおよびユーザーを定義し、自動プロビジョニングを有効にできます。

あなたのアイデンティティプロバイダ(IdP)のユーザーステータスがあなたのCatoアカウントに自動的に同期されます。 たとえば、IdP でユーザーを無効にすると、それらが Cato アカウントに無効として同期されます。

注: SCIMグループ内のユーザーの総数をAzureとCMAのSCIMグループで比較する場合、CMAのSCIMグループにはより少ないユーザーが含まれることを注記してください。 これは、無効なユーザーを考慮に入れないためです。それらのユーザーは同期され、その後無効になった、または常に無効だったユーザーです。

Cato SCIMアプリの設定

Azure ギャラリーから Cato SCIM アプリの設定を構成し、ユーザーをCatoに自動的に同期するようにアプリを設定します。

Cato管理画面で SCIM プロビジョニングを有効にし、URL とトークンを Cato SCIM アプリの管理者資格情報セクションにコピーします。

既存のアプリに新しい属性を追加するには、SCIMアプリを更新します。

接続する Cato管理画面をSCIMアプリへ:

  1. Azureポータルから、エンタープライズ アプリケーションを選択します。
  2. 新規アプリケーション、Cato Networksプロビジョニングアプリを検索し、作成をクリックします。

  3. Cato管理画面で、ナビゲーションメニューからアクセス > ディレクトリサービスを選択し、SCIMタブをクリックします。

    SCIM.png
  4. SCIM プロビジョニングの有効化を選び、SCIMアプリにアカウントを接続するための設定を行います。
  5. 保存をクリックします。
  6. SCIM URLとトークンをコピーし、空のテキストファイルに貼り付ける。
    1. Base URLにアクセスし、コピーアイコンをクリックしてSCIM URLをクリップボードにコピーし、テキストファイルに貼り付けてください。
    2. Bearer Tokenのコピーアイコンをクリックし、一意のアカウントトークンをクリップボードにコピーして、テキストファイルに貼り付けます。
  7. Azureで、SCIMアプリのプロビジョニングセクションに移動し、SCIM URLとトークンを貼り付けます。
    1. テナントURLにURLを貼り付けてください。
    2. 秘密トークンにトークンを貼り付けてください。
    3. 保存をクリックしてください。
  8. Azureで、接続テストをクリックして、Azure ADがCatoのSCIMアプリに接続できることを確認してください。
  9. アプリで自動プロビジョニングを有効化します。
    1. ナビゲーションメニューからプロビジョニングを選択します。
    2. プロビジョニング画面で、開始をクリックします。
    3. プロビジョニングモードのドロップダウンメニューから自動を選択します。
    4. 保存をクリックしてください。
  10. アプリにグループとユーザーを割り当てる。

Catoアカウントへのユーザープロビジョニング

Cato SCIMアプリがアカウントに接続された後、自動プロビジョニングを有効にし、同期されるユーザーとグループを選択します。

ユーザーをCatoアカウントにプロビジョニングするには:

  1. Cato SCIMアプリで、プロビジョニングセクションに移動します。

  2. プロビジョニングステータスで、プロビジョニングの開始をクリックします。

    Azure_StartProvisioning.png

    Azure ADとCatoアカウント間の初期同期が開始されます。

既存のSCIMアプリの更新

以下の手順を使用して、既存のMicrosoft Entra ID SCIMアプリケーションの属性リストと属性マッピングを更新し、追加のユーザー属性をCatoにプロビジョニングします。 これは、Catoで使用される最新の属性(例えば、職種や部門)へのアクセスを得るために必要です。

注意

注: SCIMアプリケーションが2025年11月以前に作成された場合、新しいSCIMアプリケーションを作成し、以下に説明するように属性を設定する必要があります。

既存のSCIMアプリを更新するには:

  1. Azureポータルから、エンタープライズ アプリケーション > すべてのアプリケーションに移動し、Cato SCIMアプリを選択します。
  2. プロビジョニングをクリックし、その後属性マッピングを選んでください。
  3. 属性マッピングページで、高度なオプションを表示のチェックボックスを選択し、<appName>の属性リストを編集をクリックします。

  4. 属性を追加し、タイプドロップダウンから関連する値を選択します。

    追加したい属性ごとにこのプロセスを繰り返します。

  5. 保存をクリックしてください。
  6. 属性マッピングページで、属性を編集をクリック。

  7. 属性を編集ページで、ソース属性を選択し、ターゲット属性にマッピングします。

    例えば、ソースとしてjobTitleを選択し、ターゲットのタイトルにマッピングします。

    追加したい属性ごとにこのプロセスを繰り返します。

  8. 保存をクリックしてください。
  9. プロビジョニングしたユーザーとグループをアカウントに。

SCIMプロビジョニング属性のレビュー

Cato SCIMアプリを設定した後、Entra IDとCato管理アプリケーションの間のSCIMプロビジョニング属性のマッピングを確認できます。

 

Azure AD属性

Catoユーザー属性

ユーザーに関する注意事項

userPrincipalName

userName

ユーザーのユーザー名

Coalesce([mail], [userPrincipalName])

emails[type eq "work"].value

メールアドレス

givenName

name.givenName

surname

name.familyName

telephoneNumber

phoneNumbers[type eq "work"].value

電話番号(プレフィックスを含む)

objectId

externalId

ユーザーのID(イベントで使用)

Switch([IsSoftDeleted], , "False", "True", "True", "False")

active

ユーザーがSCIMアプリから割り当て解除された場合、以下のパラメータでソフト削除されます:「False」、「True」、「True」、「False」

onPremisesSecurityIdentifier

onPremisesSecurityIdentifier

dirSyncEnabled

dirSyncEnabled

jobTitle

title

department

urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department

SDPライセンスの割り当て

IdPで、Catoアカウントと同期されるグループとユーザーを定義します。 初期同期が完了した後、すべてのユーザーがCato管理アプリケーションに作成され、ユーザーディレクトリページで表示されます。

その後、SDPライセンスをユーザーに割り当てることができます。詳しくは、ユーザーへのZTNAライセンスの割り当てを参照してください。

SCIMアプリからユーザーまたはユーザーグループを削除する

注意

重要:ユーザーはCMA内で削除可能ですが、SCIMアプリでプロビジョニングされているユーザーやユーザーグループはAzureポータルから直接削除することを推奨します。

SCIMアプリでプロビジョニングされたユーザーやユーザーグループをCatoアカウントから削除したい場合は、アプリで未割り当てにしてください。 SCIMアプリが次にアカウントと同期する場合、ユーザーとユーザーグループは自動的に無効化されます。

同期されたユーザーやユーザーグループをCatoアカウントから削除するには:

  1. Cato SCIMアプリで、ユーザーまたはユーザーグループを割り当て解除します。

    次回の同期時に、SCIMアプリはあなたのCatoアカウントでユーザーまたはユーザーグループを無効にします。

  2. (オプション)ユーザーまたはグループが無効になった後、Cato管理画面から削除できます。

    ユーザーまたはユーザーグループを手動で削除できるようになるまで最大で15分かかることがあります。

SCIMプロビジョニングのためのイベントの理解

Cato管理画面は、ユーザーおよびグループがクライアント接続ポリシーの要件を満たさないためにブロックされた場合、イベントを生成します。

毎時、Cato管理画面はSCIMプロビジョニングのアクション(成功または失敗)の概要を示す電子メールアラートを送信します。

以下のテーブルは、異なるイベントを説明します。

 

イベントタイプ

アクション

説明

SCIMプロビジョニング

成功

SCIMアプリでユーザーまたはグループをアカウントに同期するアクションが成功しました。

SCIMプロビジョニング

失敗

SCIMアプリがアカウントにIdPを同期するのに失敗しました。 イベントメッセージは同期失敗の理由を説明します。

SCIMプロビジョニング

無効

IdPで無効化されたユーザーは、正常に同期され、Catoアカウントで無効にされました。

この記事は役に立ちましたか?

5人中4人がこの記事が役に立ったと言っています

0件のコメント