アプリケーション・カタログ・アプリケーションのプロビジョニングの有効化

ユーザー・プロビジョニングと同期は、アプリケーション管理の重要な側面です。プロビジョニングでは、IAMを使用してアカウントを作成および削除するなど、アプリケーション内のアカウントのライフサイクルを管理できます。たとえば、Google Suiteなどのアプリケーションへのアクセス権をユーザーに付与すると、このユーザー・アカウントがGoogle Suiteで自動的に作成されます。これにより、複数のアプリケーションに新規ユーザーをすばやく追加でき、ユーザーがロールを変更したり組織を離れたりすると、すぐにそれらのアプリケーションからユーザーをプロビジョニング解除できます。

アプリケーション・カタログ・アプリケーションのプロビジョニングを有効にして構成できるのは、アプリケーションを追加するとき、または後でそれを変更するときです。スイッチをオンにしてプロビジョニングを有効にすると、次のステップが表示されます:

  1. アプリケーション接続を構成します。

    各フィールドに値を指定して、アプリケーション接続を構成します。次の構成に移動する前に、必ず接続のテストを行ってください。

  2. 属性マッピングを構成します。

    属性マッピングを使用すると、IAM属性をアプリケーション・アカウントの属性にマップできます。既存のデフォルト・マッピングを確認し、必要に応じて、必要なユーザー属性のリストから適切な値を選択してマッピングを変更できます。行を追加して欠落した属性をマップしたり、行を削除して重複する属性マッピングを除外したりできます。プロビジョニング用の新しい属性を追加するには、「行の追加」を選択し、「ユーザー」およびアプリケーション・アカウントの列に属性を指定して、「変更の保存」を選択します。たとえば、「外部ID」フィールドを追加する場合は、「ユーザー」列に$(user.externalId)と入力し、アプリケーション・アカウント列のリストから対応するフィールドを選択します。

  3. プロビジョニング操作を選択します。

    プロビジョニングおよび同期をサポートする任意のアプリケーションは、認可アプリケーションになります。「認可同期」が構成されている場合は、認可アプリケーションの対応するデータのみに基づいて、ユーザーを自動的に作成、変更、削除およびアクティブ化(または無効化)できます。ただし、認可同期が有効になっている間は、通常のプロビジョニング操作は許可されません。

    認可同期が有効になっている場合、次のアクションが自動的に実行されます:
    • ユーザーがIAMに存在しない場合、ユーザーは自動的に作成されます。

    • 認可同期されたユーザーがアプリケーションから削除されると、そのユーザーはIAMからも削除されます。

    • 認可同期されたユーザーの属性が変更されると、そのユーザーの属性はIAMでも変更されます。

    認可同期が有効になっている場合、IAMからターゲット・アプリケーションへのプロビジョニング操作は許可されません。プロビジョニングを使用してアプリケーションのユーザーを管理するには、「認可同期」チェックボックスの選択を解除します。次のプロビジョニング操作が表示されます:

    • アカウントの作成: アプリケーションがユーザーに付与されたときにアカウントを作成する場合に選択します。

    • アカウントの更新: このアカウントを更新する場合に選択します。

    • アカウントの非アクティブ化: アプリケーションに割り当てられているユーザーを非アクティブ化する場合に選択します。

    • アカウントの削除: IAMユーザーの削除時にアプリケーションのアカウントを削除する場合に選択します。

重要

アプリケーションとIAM間の接続を構成する場合は、事前に入力されたユーザー名およびパスワード・フィールドのエントリがアプリケーションにアクセスするための資格証明ではない可能性があるため、それらを確認して検証します。
アプリケーションのプロビジョニングと同期を構成するには、アプリケーションの特定のアプリケーション・カタログの手順に従います。
プロビジョニングを有効にした後、次のアクションを実行できます: