はじめに

日商エレクトロニクスのAzure担当エンジニア 渡邊です。

今回は前回の記事の[さいごに]で触れていたGsuite側でユーザーを事前に作成する必要がないプロビジョニング環境を構成したいと思います。

SSO連携を行うサービスが増えてきた場合に、それぞれでユーザーを作る必要がなくなるので、より手間を無くすことができるようになります。

※ここで紹介している内容は2020年3月時点のものです。Azureは常に変化しますので最新の情報を参照してください。

1.IDプロビジョニングとは

IDプロビジョニングは、Azure ADでユーザーを作成した場合に、連携しているサービスでも自動的にユーザーを作成する機能です。

業務を行う中で様々なシステムを使用していると思います。それぞれのシステムでアカウントを作成する必要がある場合、人の出入りがある度にアカウントを作成する必要があるため、かなりの負担となることが考えられます。そこで、IDプロビジョニング環境を構成し、1つのアカウントを作成するだけで連携している全てのアカウントを自動的に作成することで、この負担を軽減することができます。
IDプロビジョニング

2.ゴールと準備環境

今回のゴールは前回の記事で構成した環境に設定を追加してプロビジョニングされたアカウントでGsuiteへログインする環境を構成することです。

オンプレミス環境は前回と同様にWindows ADとAzure AD Connectを構築しています。ユーザーは[SSO_User02]を作成します。
Windows ADとAzure AD Connectを構築

Gsuite側は前回とは異なりユーザーの事前作成は行いません。
Gsuite側の作成イメージ

3.プロビジョニング設定

Gsuite、AzureADでそれぞれプロビジョニングに必要な設定を実施します。

3.1.Gsuite設定

Gsuite管理コンソールへログインし、[セキュリティ]をクリックします。
Gsuite管理コンソール

[API権限]をクリックします。
Gsuite管理コンソールAPI権限

[G Suite]の[APIアクセス]を有効にします。
Gsuite管理コンソールAPI権限

[管理コンソール]画面へ戻り、[管理者の役割]をクリックします。
管理コンソール

プロビジョニングを実施する際に使用するアカウントが[特権管理者]に含まれていることを確認し、[権限]タブ内の[管理APIの権限]を全て有効にします。
管理者の役割

次にAzure ADの設定を行います。

3.2.Azure AD設定

Azureポータルへアクセスし、ログインします。左メニューから[すべてのサービス]→[Azure Active Directory]→[エンタープライズアプリケーション]をクリックします。
Azureポータル

[検索バー]に[Google]と入力すると前回作成した[Google Cloud / G Suite Connector by Microsoft]が表示されるので、クリックします。
エンタープライズアプリケーション

[概要]が表示されるため、[プロビジョニング]をクリックします。
Google Cloud/G Suite Connector by Microsoft概要

[プロビジョニングモード]を[自動]に変更します。
Google Cloud/G Suite Connector by Microsoftプロビジョニング

[管理者資格情報]の[承認する]をクリックします。
Google Cloud/G Suite Connector by Microsoftプロビジョニング管理者資格情報

Azure ADへプロビジョニングの許可を与えるためgoogle管理者のアカウントでログインします。[許可]をクリックします。
Azure ADプロビジョニング許可

[テスト接続]がアクティブになるため、[テスト接続]をクリックして成功することを確認します。
管理者資格情報

[通知用メール]に使用可能なメールアドレスを入力し、[エラーが発生したときにメール通知を送信する]をチェックし、[保存]をクリックします。
管理者資格情報

次に[マッピング]の[Synchronize Azure Active Directory Users to G Suite]をクリックします。
マッピング

Gsuiteへマッピングする属性を定義し、[保存]をクリックします。
属性マッピング

今回はグループは同期を行わないようにするため、[Synchronize Azure Active Directory Groups to G Suite]をクリックして[有効]で[いいえ]を選択して[保存]をクリックします。
属性マッピング

[設定]の[プロビジョニング状態]を[オン]にし、[範囲]を[割り当てられたユーザーとグループのみを同期する]を選択し、[保存]をクリックします。
Google Cloud / G Suite Connector by Microsoftプロビジョニング設定

これで設定は全て完了となります。

3.3.ログイン

今回プロビジョニングの範囲に[割り当てられたユーザーとグループのみを同期する]を選択しているので、ユーザーへアプリケーションの割り当てを行います。Azureポータルから[Azure AD]→[エンタープライズアプリケーション]を選択し、[Google Cloud / G Suite Connector by Microsoft]を選択し、[ユーザーとグループ]→[+ ユーザーの追加]をクリックします。
Google Cloud / G Suite Connector by Microsoftユーザーとグループ

[ユーザー]をクリックし、[SSO_User02]を選択して[選択]をクリックし、[割り当て]をクリックします。[ユーザーとグループ]に選択したユーザーが表示されていることを確認します。
Google Cloud / G Suite Connector by Microsoftユーザーとグループ

[プロビジョニング]をクリックし、[現在の状態]を確認し、[ユーザー]の数が増加していることを確認します。※同期は約40分ごとに実行されるため、ユーザーが増加していない場合は[現在の状態を消去して、同期を再開します]にチェックを入れて[保存]を押すと再度同期を行うことが可能です。
Google Cloud / G Suite Connector by Microsoftプロビジョニングの状態

同期が完了するとGsuite側のユーザーが作成されていることがわかります。
Google Admin

マイアプリポータルへアクセスし、割り当てたユーザーでログインし、割り当てたGsuiteのアイコンをクリックします。
マイアプリポータル

SSO連携も行っているため、ログイン画面が表示されずに、新規作成されたアカウントで表示されるGsuiteの規約画面が表示されるので[同意する]をクリックすると、Gmailの画面が表示されます。
Gmail

ドライブなども問題無く使用できます。
Googleドライブ

このようにWindows ADで作成したユーザーをプロビジョニングすることで、新しく他のサービスにアカウントを手動で作成することなく利用することができるようになります。

3.4.同期に失敗する場合

同期に失敗した場合は、[プロビジョニング]内の[現在の状態]の下部に[監査ログの表示]というリンクがありますので、クリックします。
Google Cloud / G Suite Connector by Microsoft監査ログ

ここで同期のログが確認可能です。失敗している場合は[状態]が[Failure]となっているものを選択することで詳細を確認し、エラーメッセージから原因を確認することも可能です。同期の確認や失敗時に活用してみてください。
Google Cloud / G Suite Connector by Microsoft監査ログ

さいごに

今回は利用サービスに対して自動でユーザーを作成する機能であるIDプロビジョニングを実際に構成しました。SSOとプロビジョニングを設定することで1つユーザーを作成するだけで連携するサービスを全て利用できるようになります。Azure ADでは多くのサービスと連携できるようになっているので、是非様々なサービスと連携して毎年の負担を軽減してみてください。

この記事を書いた人

渡邊真悟
渡邊真悟
オンプレエンジニアとして活動するはずが、弊社Azure立ち上げを担い、気が付いたらクラウドエンジニアとなっていました。
新しいことに取り組むのが苦手だった自分を変え、常に最新の情報を取り入れられるように日々奮闘しています。
Azure Virtual DesktopやAzure Filesなど、IaaS/PaaS領域の機能検証や、Microsoft 365などのSaaS範囲まで組み合わせた情報をお伝えしていきます。
こんな検証ができないか、等ありましたら是非ご連絡ください!