MotimateAzureとMotimateの間でSCIMをセットアップする方法は?

更新
スクリーンショット 2025-03-11 at 17.37.47 copy.png

 

Azure Active Directory (AD) と Motimate の間の SCIM 連携を有効にして、Motimate でユーザーを自動的に同期します。

 

Motimateは、SCIM APIを使用して、Azure ADからのデータの自動インポート/同期をサポートしています。 Microsoftのチュートリアルもご覧ください:Azure Active DirectoryでSCIMエンドポイントのプロビジョニングを開発し、計画する」を参照してください。

 

このプロセスを開始する前に、Motimate またはsupport@motimateapp.comのカスタマーサクセスマネージャーに連絡し、以下のステップを完了するために必要な以下のデータを要求する必要があります:

  • SCIMテナントURL
  • SCIMシークレット・トークン

     

 

注意すべき制限

SCIMの統合により、Azure(現在はEntra ID)とMotimateの間でユーザーをインポートして同期を保つことができますが、すべてのユーザーは、標準の「通常ユーザー」ユーザーロールと、すべてのグループでの「メンバー」ロールを取得します。 他のロールを持つべきユーザーは、インポート後に手動で更新する必要があります。 Motimateのさまざまな役割については、こちらをご覧ください。

 

Microsoft AzureとMotimate間のSCIMのセットアップ

  1. Microsoft Azure管理者アカウントでMicrosoft Azure ポータルにログインします。
     
  2. まず、Azure ポータルの上部にある検索バーでEnterprise Applications を検索し、表示されたらクリックします。
     
  3. エンタープライズアプリケーション 設定の新しいページが表示されます。 ここで、ページ上部の「新規申請 」をクリックします。
     
  4. 次に、ページ上部の「Create Your Own Application 」をクリックします。
     
  5. 右側に表示されるウィンドウで、アプリに次の名前を 付ける必要があります:Motimate SCIM
     

  6. ギャラリーにない他のアプリケーションを統合する(非ギャラリー)
     
  7. 作成」をクリックすると、すぐに新しいアプリケーションの「概要」 ページが表示されます。
     
  8. 左側のメニューから「Provisioning」を 選択し、「Get Started」 ボタンをクリックします。
     
  9. Provisioning Mode(プロビジョニングモード )を[Automatic(自動)]に設定する必要があります。
     
  10. Motimateから受け取ったテナントURLと シークレットトークンを 入力します。 まだMotimateに連絡していない場合は、手続きを進めることができません。
     
  11. Test Connectionを クリックし、接続が成功したことを確認する。 数秒かかりますが、完了すると右上に通知が表示されます。
    • テストに失敗した場合は、Motimateから提供されたとおりにテナントURLと シークレットトークンを 入力したかどうかを再確認してください。
       

    • テナントのURLは、通常このような形式になる:

      https://{identifier}.motimateapp.com/scim/v1

      を忘れずに置き換えてください。 {identifier} をMotimateアカウントのものに置き換えてください。
       

    • シークレットトークンは 、32文字と数字の組み合わせで構成される:

      5e188cf76084d08cde4b7d68083f27c4

      (この例のトークンは機能しませんので、使用しないでください)。
       

  12. テストが成功したら、Saveを クリックしないと続行できません。
     
  13. 設定が保存されると、[Test Connection]ボタンの下に[Mappings] の新しいセクションが表示されます。
     
  14. Mappings セクションを展開し、Provision Azure Active Directory Users をクリックします。
     
  15. Attribute Mappings セクションが表示されるまで下にスクロールします。
     
  16. まず、最初の列のmailNicknameという Azure Active Directory属性を 見つける必要がある。
     
  17. mailNicknameをクリックすると、属性の編集 ウィンドウが開きます。
     
  18. 送信元属性を mailNicknameから objectIdに変更しなければなりません。
     
  19. 次に、Match objects using this attributeのドロップダウンでYesを 選択します。
     
  20. OKをクリックする。
     
  21. ここで、以下のAzure Active Directory Attributesをすべて最初の列に保持していることを確認する必要がある:
    • オブジェクトID
    • Switch([IsSoftDeleted], , "False", "True", "True", "False")
    • 役職名
    • 郵便
    • ユーザープリンシパル名
    • 名前
    • 苗字

    • モバイル*

      *)電話番号はプラス記号で始まり、その後に国番号と数字のみ:

      正しい+4798765432
      不正解:98765432

      空欄でも可。 フォーマットが正しくない場合、同期ができません。 フォーマットが不明な場合や、数値を同期させる必要がない場合は、この属性を削除することをお勧めします。

  22. 削除 できるのは以下の通り:
    • 表示名
    • 優先言語
    • Join(" ", [givenName], [surname])
    • 物理的配達オフィス名
    • 住所
    • 都市
    • 状態
    • 郵便番号
    • カントリー
    • 電話番号
    • ファックス電話番号
    • 従業員ID
    • 部門
    • マネージャー
       
  23. ここで、属性userPrincipalNameを クリックして、属性の編集 ウィンドウを開く必要があります。
     
  24. Match objects using this attributeの ドロップダウンをNoに変更し、OKをクリックする。
     
  25. 次に、属性のobjectIdを クリックして、再びEdit Attribute ウィンドウを開きます。
     
  26. 今度はMatching precedenceの 値を1に変更し、OKをクリックする。
     
  27. 属性マッピングのリストはこのようになるはずです:

    76.png
     
  28. すべてが正しく表示されたら、一番上の「保存」を クリックし、次に「はい」をクリックします。
     
  29. 非常に重要: 残念ながら、Azureのバグにより、Motimate SCIMアプリケーションの概要に 戻り、以下の指示に従う必要があります:
    1. 左側のメニューでProvisioning をもう一度クリックします。
    2. Manage Provisioning] セクションの[Edit Attribute Mappings ]をクリックします。
    3. Mappings セクションを展開し、Provision Azure Active Directory Users を再度クリックします。
    4. これで、おそらく最初のAzure Active Directory属性の名前は、残念ながらmailNicknameに戻ったことでしょう。
    5. mailNicknameを クリックし、Edit Attribute ウィンドウでSource Attributeを objectIdに戻してください。
    6. OK]をクリックし、一番上の[保存] 、[はい]の順にクリックします。
    7. この手順を正しく行わないと、すべてのユーザーがMotimateとの同期に失敗します。
       
  30. 上記のバグを修正したら、プロビジョニング 設定に戻ることができます。 > Provisioning(プロビジョニング) > をクリックすると、ここにアクセスできる:

    77.png
     
  31. 今回は「Provision Azure Active Directory Groups」をクリックします。
     
  32. Attribute Mappings] セクションで、objectID というAzure Active Directory 属性を クリックします。
     
  33. Edit Attribute ウィンドウで、Match objects using this attributeを Yesに変更し、OKをクリックする。
     
  34. 次に属性displayNameをクリックする。
     
  35. Edit Attributeウィンドウで、Match objects using this attributeを Noに変更し、OKをクリックします。
     
  36. ここでもう一度objectID 属性をクリックし、Matching Precedenceを 1に変更してOKをクリックする。
     
  37. 属性マッピングのリストは、このようになるはずです:

    78.png
     
  38. すべてが正しく表示されたら、一番上の「保存」を クリックし、次に「はい」をクリックします。
     
  39. ユーザー名とプロフィール写真の下にある右上の×印を クリックしてください。 アプリケーションの設定に戻るには、このボタンを2回クリックします。
     
  40. アプリケーションのコンフィギュレーションが完了したので、テストユーザの同期をテストする必要があります。
     
  41. 左側のメニューから「ユーザーとグループ 」をクリックします。 ここでは通常、Motimateと同期するグループを追加しますが、テストでは、代わりにユーザーを1人か2人追加するだけです。
     
  42. 画面上部のAdd user/groupを クリックします。
     
  43. ユーザー]の下にある[選択されていません] をクリックします。
     
  44. テストしたいユーザーを検索して見つけてください。 ご自身のユーザー、または組織のMotimate org管理者(ご自身でない場合)をテストすることをお勧めします。 Motimateでテスト用のユーザーアカウントを作成している場合は、このアカウントも追加してください。
     
  45. 選択したすべてのユーザーが「選択した項目」に表示されます。 完了したら、その下にある「選択」 ボタンをクリックするだけです。
     
  46. ここでAssign ボタンをクリックする。
     
  47. これで、プロビジョニングをオンにして、すべてが機能していることをテストする準備が整いました。 ただし、その前に、Motimateの担当者またはsupport@motimateapp.com宛に電子メールを送信し、プロビジョニングを有効にする予定であることを通知する必要があります。 この電子メールでは、テストを計画している各ユーザーのオブジェクト ID、ユーザー・プリンシパル名(UPN)、および電子メールをお知らせいただく必要があります。 さらに、以下の属性マッピングのスクリーンショットを添付する必要があります:
    • Azure Active Directoryユーザーのプロビジョニング
    • Azure Active Directoryグループのプロビジョニング
       
  48. 問題がなければ、プロビジョニングを有効にできることを確認します。
     
  49. プロビジョニングをオンにするには、左側のメニューでプロビジョニングを クリックします。
     
  50. 次に、画面上部の[プロビジョニングの開始 ]をクリックします。
     
  51. ユーザーが自動的にプロビジョニングされるまで、数時間かかることもある。 プロビジョニングを開始した後、[オンデマンドでプロビジョニング] をクリックすると、少数のユーザーを迅速にプロビジョニングできます(Motimateにユーザーがどのくらいで表示されるかは、その時点でのデータ転送量に依存します)。
     
  52. テスト用に追加したユーザーを検索してください。 ユーザーを選択し、下部のProvision ボタンをクリックします。 一度にオンデマンドでプロビジョニングできるのは1人のユーザーのみで、「ユーザーとグループ」の下にあるアプリケーションにすでに追加されているユーザーのみプロビジョニングできます。 直接追加されるか、追加されたグループの直接のメンバーでなければならない。
     
  53. プロビジョニングが成功した場合、すべてのチェックマークは次のように緑色になります。
    79.png
    何らかの理由でプロビジョニングが失敗した場合、画面全体のスクリーンショットを撮る必要があります。また、失敗したステップの「詳細を表示」の 下にもスクリーンショットを撮る必要があります。 トラブルシューティングのため、これをMotimateの担当者にお送りください。
     
  54. プロビジョニングに成功した場合は、[Provision another user]ボタンをクリックして、テストしたい他のユーザーを追加できます。
     
  55. すべてのテストユーザーに対してプロビジョニングオンデマンドが完了したら、Motimateに電子メールを送信してプロビジョニングが完了したことを確認してください。
     
  56. 私たちの方で問題がないことを確認し、プロビジョニング用のグループを追加できるようにします。
     
  57. グループのプロビジョニングを開始する前に、Motimateのグループ構成についてMotimateの担当者と相談してください。

おめでとう! これで、AzureとMotimate間のSCIMの設定は完了です。

 

Azure ADからユーザーを同期する予定がある場合は、できるだけ早くSCIMをアクティブ化することを強くお勧めします。 上記の手順が複雑に見える場合は、1時間ご予約いただければ、手順を説明し、すべてが機能していることを確認いたします。 通常は30分以内で終わるが、1時間あれば予期せぬことが起きても十分な時間が確保できる。


テクニカルノート

デフォルトマッピング

デフォルトでは、SCIM属性は次のようにマッピングされます:

Azure AD属性 customappsso 属性 モティメイト属性
ユーザープリンシパル名 ユーザー名 従業員番号
名前 名前.givenName
苗字 name.familyName。 ラストネーム
郵便 Eメール[type eq "work"].value 電子メール
モバイル phoneNumbers[type eq "mobile"].value 電話番号
役職名 タイトル 位置


例えば、このペイロード:

{
  "name":{
  "formatted": "John Doe",
"givenName": "John",
"familyName": "Doe"
  },
"title": "CTO",
  "active":true,
"emails":[
    {
      "type": "work",
"value": "john.doe@example.com",
      "primary":true
    }.
  ],
"userName": "john.doe@example.onmicrosoft.com",
  "externalId": "cc5c3f1b-e046-40e8-a317-5e71b2b73286",
  "displayName": "John Mark Doe",
"phoneNumbers":[
    {
      "type": "mobile",
"value": "+4700000000",
      "primary":false
    },
    {
      "type": "work",
      "value": "+4899999999",
      "primary":true
    }.
  ],
  "preferredLanguage": "en-US",
  "urn:ietf:params:scim:schemas:extension:enterprise:2.0:User":{
    "department": "DevOps"
  }.
}

... 以下の属性を持つMotimateユーザーを作成します:

モティメイト属性 価値
従業員番号 john.doe@example.onmicrosoft.com
ジョン
ラストネーム ドウ
電子メール john.doe@example.com
電話番号 +4700000000(+4899999999ではない)
位置 最高技術責任者

 


 

このマッピングは変更できますが、Motimateとの協力が必要です。

タイトルとポジションを対応付けるとき、Motimateはタイトルに一致する既存のポジションを見つけようとします。 もしそのようなポジションが存在しなければ、新設することになる。 SCIMを使用してユーザーごとに複数のポジションを同期させることはできない。

Eメールフォーマットの要件

電子メールアドレスは、標準的な電子メールフォーマットの規則に従う必要があります:

  • ローカルパートにもドメインにも@記号や空白がない。
  • ローカルパートとドメインを区切る@記号は1つでなければならない。

従業員番号の要件

最も重要な要件は、従業員番号が一意でなければならないということである。 デフォルトのマッピングでは、SCIMのuserName属性に基づいて従業員番号を設定します。つまり、ユーザ側のuserNameも一意でなければなりません。

従業員番号のもう一つの条件は、空白文字を含むことができないということである。

電話番号の条件

電話番号は「+」と国番号で始まる必要があります。 また、空白文字を含んではならない。 以下は無効な電話番号の例である:

  • 99999999
  • 004799999999
  • 4799999999
  • @4799999999

external_idについて

SCIMはexternalIdを送信するが、これは通常ユーザーまたはグループのActive DirectoryオブジェクトIDと等しい。 このexternalId は SCIM API で取得できます。 Motimate Admin Panel のImports>SCIM Users>View User>EXTERNAL 属性にも表示されます。

注: SCIMexternalId と、OpenAPI で取得できる Motimate Users and Groupsexternal_id 属性との間には関連はありません。

ご質問がございましたら、support@motimateapp.com。

 

0件のコメント

サインインしてコメントを残してください。