はじめに

日商エレクトロニクスのAzure担当エンジニア 渡邊です。

今回は前回の記事の[さいごに]で触れていたGsuite側でユーザーを事前に作成する必要がないプロビジョニング環境を構成したいと思います。

SSO連携を行うサービスが増えてきた場合に、それぞれでユーザーを作る必要がなくなるので、より手間を無くすことができるようになります。

※ここで紹介している内容は2020年3月時点のものです。Azureは常に変化しますので最新の情報を参照してください。

1.IDプロビジョニングとは

IDプロビジョニングは、Azure ADでユーザーを作成した場合に、連携しているサービスでも自動的にユーザーを作成する機能です。

業務を行う中で様々なシステムを使用していると思います。それぞれのシステムでアカウントを作成する必要がある場合、人の出入りがある度にアカウントを作成する必要があるため、かなりの負担となることが考えられます。そこで、IDプロビジョニング環境を構成し、1つのアカウントを作成するだけで連携している全てのアカウントを自動的に作成することで、この負担を軽減することができます。

2.ゴールと準備環境

今回のゴールは前回の記事で構成した環境に設定を追加してプロビジョニングされたアカウントでGsuiteへログインする環境を構成することです。

オンプレミス環境は前回と同様にWindows ADとAzure AD Connectを構築しています。ユーザーは[SSO_User02]を作成します。

Gsuite側は前回とは異なりユーザーの事前作成は行いません。

3.プロビジョニング設定

Gsuite、AzureADでそれぞれプロビジョニングに必要な設定を実施します。

3.1.Gsuite設定

Gsuite管理コンソールへログインし、[セキュリティ]をクリックします。

[API権限]をクリックします。

[G Suite]の[APIアクセス]を有効にします。

[管理コンソール]画面へ戻り、[管理者の役割]をクリックします。

プロビジョニングを実施する際に使用するアカウントが[特権管理者]に含まれていることを確認し、[権限]タブ内の[管理APIの権限]を全て有効にします。

次にAzure ADの設定を行います。

3.2.Azure AD設定

Azureポータルへアクセスし、ログインします。左メニューから[すべてのサービス]→[Azure Active Directory]→[エンタープライズアプリケーション]をクリックします。

[検索バー]に[Google]と入力すると前回作成した[Google Cloud / G Suite Connector by Microsoft]が表示されるので、クリックします。

[概要]が表示されるため、[プロビジョニング]をクリックします。

[プロビジョニングモード]を[自動]に変更します。

[管理者資格情報]の[承認する]をクリックします。

Azure ADへプロビジョニングの許可を与えるためgoogle管理者のアカウントでログインします。[許可]をクリックします。

[テスト接続]がアクティブになるため、[テスト接続]をクリックして成功することを確認します。

[通知用メール]に使用可能なメールアドレスを入力し、[エラーが発生したときにメール通知を送信する]をチェックし、[保存]をクリックします。

次に[マッピング]の[Synchronize Azure Active Directory Users to G Suite]をクリックします。

Gsuiteへマッピングする属性を定義し、[保存]をクリックします。

今回はグループは同期を行わないようにするため、[Synchronize Azure Active Directory Groups to G Suite]をクリックして[有効]で[いいえ]を選択して[保存]をクリックします。

[設定]の[プロビジョニング状態]を[オン]にし、[範囲]を[割り当てられたユーザーとグループのみを同期する]を選択し、[保存]をクリックします。

これで設定は全て完了となります。

3.3.ログイン

今回プロビジョニングの範囲に[割り当てられたユーザーとグループのみを同期する]を選択しているので、ユーザーへアプリケーションの割り当てを行います。Azureポータルから[Azure AD]→[エンタープライズアプリケーション]を選択し、[Google Cloud / G Suite Connector by Microsoft]を選択し、[ユーザーとグループ]→[+ ユーザーの追加]をクリックします。

[ユーザー]をクリックし、[SSO_User02]を選択して[選択]をクリックし、[割り当て]をクリックします。[ユーザーとグループ]に選択したユーザーが表示されていることを確認します。

[プロビジョニング]をクリックし、[現在の状態]を確認し、[ユーザー]の数が増加していることを確認します。※同期は約40分ごとに実行されるため、ユーザーが増加していない場合は[現在の状態を消去して、同期を再開します]にチェックを入れて[保存]を押すと再度同期を行うことが可能です。

同期が完了するとGsuite側のユーザーが作成されていることがわかります。

マイアプリポータルへアクセスし、割り当てたユーザーでログインし、割り当てたGsuiteのアイコンをクリックします。

SSO連携も行っているため、ログイン画面が表示されずに、新規作成されたアカウントで表示されるGsuiteの規約画面が表示されるので[同意する]をクリックすると、Gmailの画面が表示されます。

ドライブなども問題無く使用できます。

このようにWindows ADで作成したユーザーをプロビジョニングすることで、新しく他のサービスにアカウントを手動で作成することなく利用することができるようになります。

3.4.同期に失敗する場合

同期に失敗した場合は、[プロビジョニング]内の[現在の状態]の下部に[監査ログの表示]というリンクがありますので、クリックします。

ここで同期のログが確認可能です。失敗している場合は[状態]が[Failure]となっているものを選択することで詳細を確認し、エラーメッセージから原因を確認することも可能です。同期の確認や失敗時に活用してみてください。

さいごに

今回は利用サービスに対して自動でユーザーを作成する機能であるIDプロビジョニングを実際に構成しました。SSOとプロビジョニングを設定することで1つユーザーを作成するだけで連携するサービスを全て利用できるようになります。Azure ADでは多くのサービスと連携できるようになっているので、是非様々なサービスと連携して毎年の負担を軽減してみてください。

この記事を書いた人

渡邊真悟
渡邊真悟
オンプレエンジニアとして活動するはずが、気が付いたらクラウドに飲み込まれていたエンジニア
新しいことに取り組むのが苦手だった自分を変え、常に最新の情報を取り入れられるように日々奮闘しています。
Azureの機能検証や、Azure Stackも担当していることからハイブリッド環境の検証もお届け出来ればと思っています。
こんな検証ができないか、等ありましたら是非当社までご連絡ください!