SCIMユーザープロビジョニングにおける属性の構成

このセクションでは、ユーザープロビジョニング中における、Azure AD用のカスタム属性とエンタープライズ属性の作成方法を説明します。

属性のマッピング

接続が確立された後、Azure ADとIvanti Neurons for MDMとの間で属性をマッピングできます。 Ivanti Neurons for MDM では、以下のAzure AD属性をサポートしています。

コア属性

id(urn:ietf:params:scim:schemas:core:2.0:id)
userName("urn:ietf:params:scim:schemas:core:2.0:User:userName" )
displayname("urn:ietf:params:scim:schemas:core:2.0:User:displayName")
active("urn:ietf:params:scim:schemas:core:2.0:User:active")
name("urn:ietf:params:scim:schemas:core:2.0:User:name")
userType(urn:ietf:params:scim:schemas:core:2.0:User:userType)
emails(urn:ietf:params:scim:schemas:core:2.0:User:emails)
locale("urn:ietf:params:scim:schemas:core:2.0:User:locale")

更新操作が許可される属性の一覧

displayName
emails
name
active
id
urn:ietf:params:scim:schemas:extension:ivanti:2.0:User

カスタム属性

スキーマ - urn:ietf:params:scim:schemas:extension:ivanti:2.0:User:<CustomAttribute123Name>

エンタープライズ属性

現在、部署属性のみがサポートされています。

スキーマ - urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department

手順

Ivanti Neurons for MDM管理ポータルにログインします。
[管理] > [ID] > [ユーザープロビジョニング] に移動します。
[設定を編集] で [+カスタム属性を追加] をクリックします。
[属性名] フィールドに名前を入力します
[変更の保存] をクリックします。
[管理] > [システム] > [属性] ページに属性がリストされて利用できるようになります。
この属性は、IDP属性タイプとして示され、削除アクションのみを実行できます。
Azure ADポータルにログインします。
[ホーム] > [企業アプリケーション] を開き、SCIMアプリケーションをクリックします。
[マッピング] セクションで [Azure Active Directoryユーザーのプロビジョニング] をクリックします。
[詳細オプションを表示] チェックボックスを選択します。
[customappssoの属性リストを編集] をクリックします。
Ivanti Neurons for MDMのUIで作成したカスタム属性用に新規エントリーを入力します。
カスタム/エンタープライズ（部署）属性のスキーマを次のように追加します。
カスタム属性 - urn:ietf:params:scim:schemas:extension:ivanti:2.0:User:<custom attribute>

エンタープライズ属性 - urn:ietf:params:scim:schemas:extension:enterprise:2.0:User:department
[変更の保存] をクリックします。
[新規マッピングの追加] をクリックし、ドロップダウンメニューからソース属性とターゲット属性を選択します。
[Ok] をクリックし、[マッピングの保存] をクリックします。
[ホーム] > [企業アプリケーション] を開き、SCIMアプリケーション > [ユーザーとグループ] をクリックします。
ユーザー名をクリックします。 [プロファイル] ページが開きます。
属性に関連付けられている値がこの [プロファイル] ページに表示されているかどうかを確認します。
（任意）SCIMアプリケーション > [プロビジョニング] > [オンデマンドでプロビジョニング] をクリックし、特定のユーザーを検索して、[プロビジョニング] をクリックします。上述の手順で実行した新規属性マッピングを検証するには:
Ivanti Neurons for MDM 管理ポータルにログインします。
[ユーザー] > [ユーザー] へ進みます。
ユーザーを選択し、[属性] タブをクリックして、属性値を確認します。属性がその特定のユーザーにマップされています。

重要な注意点

メールアドレスは、ユーザーやメンバーのプロビジョニングと移行のための必須フィールドです。
SCIMは、Microsoft Azure ADからIvanti Neurons for MDMへの、一方向のプロビジョニングを提供します。 Ivanti Neurons for MDM は、いかなる同期オプションも提供しません。 SCIMでプロビジョニングされたユーザーまたはグループをIvanti Neurons for MDMから削除した場合は、そのユーザーまたはグループをMicrosoft Azure ADからも削除してください。
Microsoft Azure ADのSCIMアプリケーションマッピングウィンドウでは、1つの属性（ソースまたはターゲット）を1回だけ使用できます。同じソースを特定のターゲット属性に2回マップすることはできません。
停止中のユーザーを、SCIMを使用してプロビジョニングする、あるいはIvanti Neurons for MDMに移行することはできません。
現在、Ivanti Neurons for MDMはSCIMイベント通知をサポートしていません。
移行またはプロビジョニングにかかる時間は、対象となるユーザーまたはグループの数に依存します。
Microsoft Azureはプロビジョニング間隔を制御します。この間隔は約40分以上です。
再プロビジョニング中にMicrosoft Azure ADが再試行するのは、失敗したエントリーのみです。プロビジョニングが成功した、または失敗したユーザーを確認するためのプロビジョニングログを、Microsoft Azure ADからダウンロードできます。
異なるソースからのグループの重複は、SCIMでは許可されません。
プロビジョニングされたユーザーをMicrosoft Azure ADからハード削除した場合、そのユーザーはIvanti Neurons for MDMでは無効化されます。
プロビジョニングされたユーザーグループをMicrosoft Azure ADから削除した場合、そのグループはIvanti Neurons for MDMでは削除され、その削除されたグループに属する個別のメンバーは、無効化されて「すべてのユーザーグループ」に関連付けられます。
プロビジョニングされたグループのプロビジョニングされたメンバーをMicrosoft Azure ADでハード削除した場合、そのメンバーはIvanti Neurons for MDMでは無効化されますが、Ivanti Neurons for MDM内のグループにはまだ関連付けられています。
属性（エンタープライズ属性またはカスタム属性）マッピングがアプリから削除された場合、その削除された属性の値はまだIvanti Neurons for MDMに反映されています。
プロビジョニングされたユーザーのユーザー属性は、空白または空の値で更新され、その更新された属性値はIvanti Neurons for MDMには反映されません。
Microsoft AADからSCIMへの移行中または更新中にユーザー属性FNameおよびLName（name.formatted）が空白である場合、移行または更新は失敗します。
Azure AD内のユーザーを削除した場合、対応するSCIM APIは、そのユーザーを完全に削除するのではなく、ソフト削除を実行し、そのユーザーのステータスをアクティブから停止中に変更します。ユーザーを完全に削除する場合は、Ivanti Neurons for MDM管理ポータルにログインし、その停止中/無効化されたユーザーを手動で削除します。

関連トピック：

ユーザープロビジョニング-Azure Active Directory

属性