【管理者・オーナー向け】Microsoft Entra ID（旧 Azure AD）SCIMプロビジョニングを設定する方法（公式アプリを使わない）

【管理者・オーナー向け】Microsoft Entra ID（旧 Azure AD）SCIMプロビジョニングを設定する方法（公式アプリを使わない）Microsoft Entra IDをIdPとして、Hubbleとのプロビジョニングを設定をするマニュアルです。

※ 現在、Microsoft Entra ID（以下 Entra ID）のアプリギャラリーに公開されているHubbleのアプリケーションでもプロビジョニングを利用できるよう申請を行なっています。 【管理者・オーナー向け】Microsoft Entra ID（旧Azure AD）アプリによるSSOの設定方法 で設定したユーザーはMicrosoftがこの申請を承認するまで今しばらくお待ちください。（2024/08/13時点）

前提条件
	プロビジョニング機能はオプション機能です。
	本設定を行う前に、Entra IDによるSSO設定を完了させる必要があります。
		【管理者・オーナー向け】Microsoft Entra ID（旧 Azure AD）アプリを利用せずにSSOを設定する方法
	Entra IDに登録されたユーザーとHubbleユーザーのメールアドレスを一致させる必要があります。
	Hubbleユーザーの全員がEntra ID上に登録されている必要はありません。

💡〈注意〉
	Hubble側でメールアドレス等のユーザー情報を変更しても、Entra IDには反映されません。
	HubbleとEntra IDの連携にメールアドレスを使用しています。そのため、Hubble側でメールアドレスを変更してしまうと、プロビジョニングが正しく行えなくなりますので変更しないでください。。

（ゆえに絶対にHubbleでメールアドレスを変更しないこと）

設定方法
概観
	Microsoft Azureにログイン
	  [Microsoft Entra ID > エンタープライズアプリケーション] をクリック
	 [Hubble] を検索し、選択
	 [プロビジョニング > 作業の開始] をクリックし各種設定
	Hubbleで [テナントUR] と [シークレットトークン] を取得 　　
	Entra IDとHubbleを連携
	Entra IDで各種設定
	完了確認


1. Microsoft Azureにログイン
下記のリンクより管理者アカウントでログインしてください。
Microsoft Azure

2. 「Microsoft Entra ID > エンタープライズアプリケーション 」をクリック
（1） [Microsoft Entra ID ] に遷移します。

（2） [エンタープライズ アプリケーション] をクリックします。


3.「Hubble」をクリック
①の検索から「Hubble」と検索し、Hubbleを選択してください。SSOの際に作成したアプリケーションをそのまま利用します。


4. 「プロビジョニング > 作業の開始」をクリックし各種設定
（1）左側の赤枠 [プロビジョニング] 、または中央の [ユーザーアカウントのプロビジョング] をクリックします。

（2）赤枠 [作業の開始] をクリックします。

（3）①のプロビジョニングモードで [自動] を選択。②は後述の5の手順で発行するHubble側の [テナントURLとシークレットトークン] を取得後に記載します。


5. Hubbleで「テナントURL」と「シークレットトークン」を取得 
（1）Hubbleにログインし、「管理画面>アプリケーション>SCIMプロビジョニング」で設定を行います。
（2） [SCIMプロビジョニングを開始する] をクリックします。
（3）発番された [テナントURL] と [シークレットトークン] をコピーします。

💡〈注意〉
シークレットトークンはセキュリティの関係から表示されるのは、この1回のみなので注意してください。
シークレットトークンを失った場合などの再発行の場合は一度設定を解除の上、再度設定してください。

6. Entra IDとHubbleを連携
（1）Entra ID側の設定に戻り、接続設定を完了させます。
以下の赤枠の [テナントのURL] と [シークレットトークン] を①に貼り付けてください。
その後②の [テスト接続] をクリックして、③の「指定した資格情報にはプロビジョニングを有効にする権限があります」の表示を確認してください。


（2） [保存] を押して完了です。


7. Entra IDで各種設定
（1） [Provision Microsoft Entra ID Users] をクリックします。

💡〈注意〉
Provision Microsoft Entra ID Groupsのプロビジョニングは実装しておりませんので「有効」で [はい] にしてもプロビジョニングは実行されません。

（2）「有効」で [はい] を選択します。


（3）「対象オブジェクトのアクション」で [作成・更新・削除] を選択します。


（4）「属性マッピング」のcustomappsso項目の以下4つを設定します。
①emails ［type eq "work"］.value
②active
③displayName
④userName

（4-①）「emails ［type eq "work"］.value」の設定
	「emails ［type eq "work"］.value」をクリック
	「属性の編集」は皆様のEntraIDの設定に依存しますが、以下の設定が一般的です。
		マッピングの種類： [直接] 
		ソース属性： [mail] 
		この属性を使用してオブジェクトを照合する： [はい] 
		照合の優先順位： [2] （※すべての属性の編集が完了した後で、優先順位を「１」にする必要があります）


（4-②）「active」の設定
	「active」をクリック
	「属性の編集」は皆様のEntraIDの設定に依存しますが、以下の設定が一般的です。
		マッピングの種類： [式] 
		式： Switch([IsSoftDeleted], , "False", "True", "True", "False") 
		この属性を使用してオブジェクトを照合する： [いいえ] 


（4-③）「displayName」の設定
	「displayName」をクリック
	「displayName」は皆様のEntraIDの設定に依存しますが、以下の設定が一般的です。
		マッピングの種類： [直接] 
		ソース属性： [displayName] 
		対象の属性： [displayName] 
		この属性を使用してオブジェクトを照合する： [いいえ] 
		このマッピングを適用する： [常時] 


（4-④）「userName」の設定
	「userName」をクリック
	「userName」は皆様のEntraIDの設定に依存しますが、以下の設定が一般的です。
		マッピングの種類： [式] 
		式： Item(Split([userPrincipalName], "@"), 1)  （このコードはサンプルです。userPrincipalNameの@の前の部分を指定しています）
		対象の属性： [userName] 
		この属性を使用してオブジェクトを照合する： [いいえ] 
		このマッピングを適用する： [常時] 

💡〈注意〉
userNameに対応するHubbleの「ユーザー名」は記号が「 _ 」のみ許容されているので、式で「 _ 」の記号以外を削除するか、記号が入っていない項目をソース属性にしてください。



（5） [保存] をクリックします。


（6） [プロビジョニングの開始] をクリックします。

8.プロビジョニングの結果を確認
画像の赤枠が表示されたら設定完了です。
40分ごとにHubbleとEntra IDの同期が実行されます。
関連ページ
