この記事は Microsoft 365 Advent Calendar 2023 に参加しています。17日の記事です。
はじめに
この記事は Microsoft Entra ID に現在 Preview 機能として実装されている API 駆動型インバウンド プロビジョニングを短時間で理解していただくことを目的とします。
API 駆動型インバウンド プロビジョニングとは
この機能は Entra ID に対して(インバウンド)データをプロビジョニング(書き込む1)ものです。
データソースは自由な形式を選択可能であり、例えばスプレッドシートや CSV、 SQL データベースや独自で作成している人事システムとの連携もこのエンドポイントを利用することで実装が可能です。
これまでとの違いを通じて特徴を認知する
Microsoft Entra ID に対しては Graph User API エンドポイントを通じてオブジェクトの操作を行うことが可能ですし SCIM を通じたプロビジョニングもサポートされています。それらとの違いを見ることで API駆動型インバウンドプロビジョニングの特徴が見えてきます。
- Graph Users API との違い
- 大量のデータを投入可能(1秒毎に 2,000 レコード)
- 投入時にデータの変換が可能(Entra ID 側の GUI で設定しておく)
- キー属性を指定しておけば更新・削除の処理分岐は Entra ID 側が判断する
- なんと Entra ID Connect 経由でオンプレミス AD のユーザーも作成可能
- 操作は非同期で実行され Audit に加えて Provisionig ログも記録される
- OData 形式ではなく SCIM 形式のフォーマットを利用
- SCIM プロビジョニングとの違い
- これまではアウトバウンドプロビジョニングと一部の Cloud HR サービスのみをサポートしていたが自由度の高いインバウンドプロビジョニングをサポートした
- SCIM スキーマを利用するが SCIM の操作である 作成、読み取り、更新、削除(CRUD)をサポートしている訳ではなく一括投入(/bulkUpload)のみをサポートしていて新規なのか更新なのかは Entra ID が自動的に判断する仕組み
要するにこの機能はなんなのか?(まとめ)
この機能は ID の起点をオンプレミスの Active Directory から、クラウドの IdP である Microsoft Entra ID へ切り替えを可能にする大きな変化点 であると考えます。
多くの組織で現在はオンプレミスの ID 管理製品とオンプレミスの Active Directory や LDAP サポートする Directory サービスが同期連携されていると想像しますが、これらのシステムを更改するタイミングで Microsoft Entra ID にデータを直接同期する構成も検討に含めることをお勧めいたします。
参照先
-
書き込むと書くと Identity 界隈の方から怒られそうですがわかりやすさを重視しています* ↩