Azure Active Directory からユーザーを同期する

Azure Active Directory (AD) からユーザーを同期するには、Azure AD 外部アイデンティティ を追加して、1 つ以上のグループ同期を作成する必要があります。

AuthPoint では、Azure AD 外部アイデンティティが外部ユーザー データベースを表します。外部アイデンティティは、Azure Active Directory に接続してユーザー アカウント情報を取得したりパスワードを検証します。外部アイデンティティに追加するグループ同期は、どのユーザーを Azure AD から AuthPoint へ同期するかを指定します。

Active Directory からユーザーを同期させるグループ同期を構成する際に 新しい同期グループを作成する トグルを有効にすると、ユーザーの同期元の Azure Active Directory のグループに基づいて、AuthPoint に新しいグループを作成することができます。

Azure AD 外部アイデンティティには、AuthPoint Gateway は必要ありません。Azure AD Connect を使用するオンプレミスの Active Directory サーバーがある場合は、Azure AD の外部アイデンティティを構成して、AuthPoint Gateway を使用せずにユーザーを同期して認証することができます。

Microsoft の制限により、Office 365 では、Azure AD ユーザーがローカル AD サーバーと同期されている場合にのみ、Azure AD で AuthPoint MFA がサポートされます (Azure AD にのみ存在するユーザーに対する MFA はサポートされていません)。詳細については、このナレッジ ベースの記事を参照してください。

Azure Active Directory の構成

AuthPoint を構成する前に、Azure AD を構成する必要があります。

Azure AD を構成するには、以下の手順を実行します。

  1. Microsoft Azure ポータルにログインします。
  2. Azure Active Directory のサービスを選択します。
  3. ナビゲーション メニューで、アプリの登録 を選択します。
  4. 新しい登録 をクリックします。
    アプリケーションの登録ページが表示されます。
  5. アプリケーションの名前を入力します。
  6. サポートされているアカウントの種類 では、このアプリケーションを使用してログインできるユーザーの種類を選択します。ここでの選択は、AuthPoint に同期するユーザーを表している必要があります。
  7. 登録 をクリックします。
    アプリの詳細を示すページが表示されます。
  8. アプリケーション (クライアント) ID の値をコピーします。AuthPoint で Azure AD 外部アイデンティティを作成するには、この値が必要です。
  9. ナビゲーション メニューで、マニフェスト を選択します。
  10. マニフェスト エディタで、allowPublicClient プロパティを true に設定します。
  11. 保存 をクリックします。
  12. ナビゲーション メニューで、API のアクセス許可 を選択します。
  13. アクセス許可の追加 をクリックします。
  14. Microsoft Graph を選択します。
  15. アプリケーションのアクセス許可 を選択します。
  16. Group.Read.AllUser.Read.All のアプリケーションのアクセス許可を選択します。
  17. 委任されたアクセス許可 を選択します。
  18. User.Read のアクセス許可を選択します。
  19. アクセス許可の追加 をクリックします。追加するアクセス許可には、Administrator による承認が必要です。「<name>に対して同意が与えられていません」というメッセージが表示されたら、<名前> に管理者の同意を与えます をクリックします。
  20. ナビゲーション メニューで、証明書とシークレット を選択します。
  21. 新しいクライアントの秘密 をクリックします。
  22. (任意) クライアントの秘密の説明を入力します。
  23. シークレットの有効期限を選択します。
  24. 追加 をクリックします。
    新しいクライアントの秘密の詳細が表示されます。
  25. クライアントの秘密の をコピーします。AuthPoint で Azure AD 外部アイデンティティを作成するには、この値が必要です。

AuthPoint を構成する

AuthPoint management UI で、Azure AD 外部アイデンティティ を追加して、1 つ以上のグループ同期を作成する必要があります。

外部アイデンティティを追加する

AuthPoint Management UI で外部アイデンティティを追加するには、以下の手順を実行します。

  1. AuthPoint メニューで 外部アイデンティティ を選択します。
  2. 外部アイデンティティの種類の選択 ドロップダウン リストから Azure AD を選択します。追加 をクリックします。

  1. 名前 テキスト ボックスに、外部アイデンティティの記述的な名前を入力します。
  2. アプリケーション ID テキスト ボックスに、Azure AD から取得したアプリケーション (クライアント) ID の値を入力します。

  1. ドメイン テキスト ボックスに、Azure AD のドメイン名を入力します。カスタム ドメイン名を作成していない場合、既定のフォーマットは example.onmicrosoft.com になります。
  2. クライアントの秘密 テキスト ボックスに、Azure AD からコピーしたクライアントの秘密を入力します。
  3. 同期間隔 ドロップダウン リストから、Azure AD からユーザーを同期する頻度を指定します。24 時間毎 を選択した場合は、毎日何時に同期を開始するかも指定する必要があります。

  1. 保存 をクリックします。

外部アイデンティティへの接続をテストする

外部アイデンティティへの接続をテストするには、以下の手順を実行します。

  1. ナビゲーション メニューで 外部アイデンティティ を選択します。
  2. Azure AD データベース用に追加した外部アイデンティティの横で をクリックし、接続の確認 を選択します。
    AuthPoint が Azure AD と通信できるかどうかを示すメッセージが表示されます。

ユーザーを同期する

Azure AD の外部アイデンティティを作成したら、グループ同期を追加して以下を指定する必要があります。

  • ユーザーの同期元の Azure AD グループ
  • ユーザーを追加する AuthPoint グループ

グループ同期を追加すると、AuthPoint は次回の 同期間隔に Azure AD データベースと同期し、グループ同期で特定されたユーザーごとに AuthPoint ユーザー アカウントを作成します。グループ同期に、使用可能な AuthPoint ライセンスよりも多いユーザーがいる場合、同期はライセンスによってサポートされる数のユーザーしか作成しません。

Azure AD 内で名 (名前) やユーザー名、電子メール アドレスを持っていないユーザーは同期に含まれません。

ユーザーを同期する前に、各ユーザー アカウントに有効な電子メール アドレスがあることを確認してください。ユーザー アカウントの電子メール アドレスが正しくないと、そのユーザーはトークンをアクティブ化するための電子メール メッセージを受信できません。

Azure AD グループのグループ同期を作成するには、以下の手順を実行します。

  1. 外部アイデンティティ を選択します。
  2. 外部アイデンティティの横で をクリックし、グループ同期 を選択します。

  1. グループ同期 ページで 同期する新しい Azure グループを追加する をクリックします。

  1. Azure AD グループ同期の追加 ウィンドウで、Azure AD グループの選択 ドロップダウン リストからユーザーの同期元の Azure AD グループを選択します。複数のグループを選択できます。

  1. AuthPoint グループの選択 ドロップダウン リストから、ユーザーを追加する AuthPoint グループを選択します。

    各グループ同期では、すべてのユーザーが同一の AuthPoint グループに追加されます。別々の AuthPoint グループにユーザーを追加するには、異なる AuthPoint グループに追加したいユーザーがいる Azure AD グループごとに、別々のグループ同期を作成する必要があります。同期したユーザーは、AuthPoint グループに追加する必要があります。

  1. ユーザーを同期する Azure Active Directory グループに基づいて、AuthPoint に新しいグループを作成したい場合は、新しい同期グループを作成するオプション トグルを有効にします。このオプションを有効化すると、選択した AuthPoint グループに加えて、Azure Active Directory のグループ メンバーシップに基づいて、ユーザーが新しいグループに同期されます。

  1. 保存 をクリックします。
    グループ同期の作成ウィンドウが閉じます。

AuthPoint は次回の 同期間隔に Azure AD データベースと同期し、グループ同期で特定されたユーザーごとに AuthPoint ユーザー アカウントを作成します。

すぐに同期を開始するには、外部アイデンティティ ページの外部アイデンティティの横で をクリックし、同期の開始 を選択します。

新しく作成された AuthPoint ユーザー アカウントは、ユーザー ページに、ユーザー名の横のアクティブ化されていることを示す緑のステータス アイコンとともに表示されます。アクティブ化されていることを示すステータス アイコンは、そのユーザーが作成済みで、現在アクティブである (ブロックされていない) ことを示します。外部アイデンティティから同期されたユーザーは、ユーザー リストにある種類列の Azure AD ラベルによって識別できます。

Screenshot that shows Azure AD users on the Users page.

各ユーザーは、AuthPoint モバイル アプリでトークンをアクティブ化するのに使用する電子メールを受信します。ユーザーがトークンをアクティブ化すると、トークンが トークン 列に、そのトークンの横のアクティブ化されていることを示す緑のステータス アイコンとともに表示されます。

ユーザーがトークンのアクティベーション メールを実際に受け取っていた場合は、トークンのアクティブ化ができるよう、そのユーザーに新しいアクティベーション メールを送信することができます。アクティベーション メールを再送信する方法の詳細については、アクティベーション メールを再送信する を参照してください。

新しい同期グループを作成する トグルを有効にすると、同期されたグループが AuthPoint に作成されます。新しく作成されたグループは、グループ ページに表示されます。グループ リストの同期グループは、種類 列の Azure AD ラベルで識別することができます。

同期されているグループの名前を Azure Active Directory で変更すると、AuthPoint に同期されているグループも自動で一致するよう更新されます。同期グループを AuthPoint で編集することはできません。

Azure Active Directory でグループを削除したり、グループ同期を削除しても、AuthPoint に同期されたグループは削除されません。AuthPoint に同期したグループは、手動で削除する必要があります。

関連情報:

外部アイデンティティへの接続をテストする

Active Directory または LDAP からユーザーを同期する

グループを追加する