SCIMプロビジョニングでは、Microsoft Entra ID(旧Azure Active Directory)の割り当てに基づいて、Pendoユーザーを自動的に作成、更新、削除することができます。SCIMはプレミアムサブスクリプションまたはアドオンとして利用可能です。
Pendoの公式MicrosoftギャラリーアプリはSAMLサインオンをサポートしていますが、Microsoftはギャラリーエントリのプロビジョニングコネクタを認定していないため、[プロビジョニング]タブは含まれていません。SCIMプロビジョニングを有効にするには、既存のPendo SAMLアプリと並行して、ユーザーとグループのプロビジョニングを処理するギャラリー以外の別のアプリケーションをEntra IDに作成します。
始める前に
先に進むには、以下のものが必要です。
- Pendoギャラリーアプリを使用してEntra IDで設定された既存のPendo SAML接続。
- Microsoft Entraにおけるグローバル管理者権限またはアプリケーション管理者権限。
2つのアプリの設定方法
ギャラリーアプリはプロビジョニング機能を提供しないため、Entra IDで連携する2つのエンタープライズアプリケーションを設定します。
- SAMLアプリ。既存のPendoギャラリーアプリはサインインを担当します。
- SCIMアプリ。ギャラリー機能を持たない新しいアプリがユーザーとグループのプロビジョニングを処理します。
両方のアプリに同じユーザーとグループを割り当てます。Entra IDは、SAMLアプリを通してユーザーにサインインし、SCIMアプリを通してPendoのアカウントを管理します。
ステップ1. エンタープライズアプリケーションを作成する
PendoのSCIMエンドポイントとして動作する非ギャラリーアプリケーションをEntra IDに作成します。
- Microsoft Entra 管理センターにサインインします。
- [アイデンティティ] > [アプリケーション] > [エンタープライズアプリケーション] に移動します。
- [新しいアプリケーション] > [独自のアプリケーションを作成] を選択します。
- アプリの名前を入力します。
- [ギャラリーに見つからない他のアプリケーションを統合する (ギャラリー以外)]を選択します。
- [作成]を選択します。
ステップ2.プロビジョニング設定を構成する
Entra IDをPendoのSCIMエンドポイントに接続します。
- 新しいアプリで、左のメニューから[プロビジョニング]を選択します。
- [プロビジョニングモード]を[手動]から[自動]に変更します。
-
[管理者認証情報]を展開し、以下を入力してください。
- テナントURL。Pendoが提供するSCIMエンドポイント。この情報の入手方法については「PendoでSCIMを設定する」を参照してください。
- シークレットトークン。アプリケーションの管理パネルで生成されたOAuthベアラートークン、またはAPIキー。
- [接続をテスト]を選択します。
注:接続テストが失敗した場合は、ファイアウォールでMicrosoft EntraのIP範囲からのトラフィックが許可されていること、テナントURLが/v2で終わっていること、ベアラートークンが最新であることを確認してください。
ステップ3. 属性をマッピングする
属性マッピングは、ディレクトリ内のどのフィールドがPendoのフィールドに対応するかをEntra IDに伝えます。Entra IDには、ユーザーとグループの両方にデフォルトのマッピングが用意されており、確認して調整できます。
ユーザー属性をマッピングする
- [プロビジョニング]ページで[マッピング]を展開します。
- [Microsoft Entra IDユーザーをプロビジョニング]を選択します。
- 必須属性
userName、active、name.givenName、name.familyNameがマッピングされていることを確認してください。 - [マッチングの優先順位]設定を確認してください。Entra IDは、2つのシステム間でアカウントをリンクするための結合要素として、1つの属性を使用します。
グループ属性をマッピングする
- [マッピング]セクションで、[Microsoft Entra IDグループをプロビジョニング]を選択します。
- 必須属性
displayName、objectId、membersがマッピングされていることを確認してください。 - [マッチングの優先順位]設定を確認してください。
グループプロビジョニングの動作
グループを割り当てる際は、以下のEntra IDの動作に留意してください。
- ネストされたグループはサポートされていません。グループAにグループBが含まれている場合、グループAのメンバーのみがプロビジョニングされます。グループ B は、アプリに明示的に割り当てられない限りプロビジョニングされません。
- 空のグループは却下されることがあります。一部のSCIMエンドポイントは、メンバーがいないグループのグループ作成リクエストを拒否します。同期する前に、少なくとも1人のユーザーをグループに割り当ててください。
- 初期同期が完了する前に手動同期を実行する必要があります。プロビジョニングを初めて有効にすると、Entra IDは完全な初期サイクルを実行します。最初のサイクルが完了するまでオンデマンド同期をトリガーできません。
ステップ4. プロビジョニングの範囲を定義する
Entra IDがPendoにプロビジョニングするユーザーとグループを選択します。
- [設定]セクションを展開します。
-
[範囲]で、以下のいずれかを選択してください。
- 割り当てられたユーザーとグループだけを同期する。[ユーザーとグループ]タブでアプリに割り当てられたユーザーとグループのみがプロビジョニングされます。ほとんどのセットアップでこの方法を推奨しています。
- すべてのユーザーとグループを同期する。テナント内のすべてのユーザーとグループがPendoにプロビジョニングされます。
ステップ5. プロビジョニングをオンにする
- [プロビジョニングステータス]を[オン]に設定します。
- [保存]を選択します。
Entra IDが初期プロビジョニングサイクルを開始します。このサイクルには、ユーザーとグループの数に応じて、20分から数時間かかる場合があります。進捗状況を監視し、個々の作成または更新アクションを確認するには、プロビジョニングログを確認してください。
トラブルシューティング
プロビジョニングが失敗した場合、または予期しない動作が発生した場合は、まずプロビジョニングログを確認してください。以下のエラーが最も一般的です。
- 401 Unauthorized. シークレットトークンの有効期限が切れているか、トークンが正しくありません。Pendoで新しいトークンを生成し、[管理者認証情報]セクションを更新してください。
- 400 Bad Request. 必要な属性がnullとして送信されました。ユーザーまたはグループのマッピングにおいて、属性のデフォルト値を追加します。
- スキーマの不一致。一部のセットアップではカスタムSCIM属性が必要です。固有のフィールドを追加するには、ユーザーマッピングで[詳細オプションを表示] > [CustomAppsの属性リストを編集]を選択します。
- グループがログでスキップされた。同期後にグループがPendoに表示されない場合は、プロビジョニングログで「Skipped」イベントがないか確認してください。Entra IDは、設定されたスコープフィルターを満たさないグループをスキップします。
よくある質問
強制的に同期させる方法は?
デフォルトでは、Entra IDは40分ごとに同期します。属性マッピングの変更後やユーザーの削除後など、より早く同期を行うには、オンデマンドでプロビジョニングを実行するか、プロビジョニングを再開することができます。
特定のユーザーまたはグループをオンデマンドでプロビジョニングするにはどうすればよいですか?
[オンデマンドでプロビジョニング]を使用すると、他の割り当てに影響を与えることなく、特定のユーザーまたはグループをすぐに同期できます。
- Entra管理センターでエンタープライズアプリケーションを開きます。
- [プロビジョニング]>[オンデマンドでプロビジョニング]に移動します。
- ユーザーまたはグループを検索します。
- [プロビジョニング]を選択します。
Entra IDは、選択したユーザーまたはグループを直ちに同期し、その結果をリアルタイムのログに表示します。
割り当てられたすべてのユーザーとグループのプロビジョニングを再開するにはどうすればいいですか?
属性マッピングの更新など、大きな変更を行った後にEntra IDに割り当てられたすべてのユーザーとグループを最初から再評価させたい場合は、[プロビジョニングを再開]を使用してください。
- アプリの[プロビジョニング]タブに移動してください。
- [プロビジョニングを再開]を選択します。
警告:プロビジョニングを再起動すると同期の透かしがリセットされるため、Entra IDは割り当てられたすべてのユーザーとグループをゼロから再評価します。大規模なディレクトリの場合、これには時間がかかることがあります。