Cloudflare Zero Trust と Microsoft Entra ID を SCIM 連携した場合のトラブルシューティング

目的

Cloudflare Zero Trust と Microsoft Entra ID を SCIM 連携した場合のトラブルシューティングについて、確認します。

SCIM については、以下のブログで簡潔にまとめられていてわかりやすいです。
（RFC 7644 - System for Cross-domain Identity Management: Protocol）

• SCIM連携ができるまで - Cybozu Inside Out | サイボウズエンジニアのブログ

前提情報

Cloudflare Zero Trust の SCIM サポート

Cloudflare Zero Trust では、Microsoft Entra ID に限らず、SAML および OIDC ID プロバイダーに対して広く SCIM をサポートしています。

サポートされるIDプロバイダー
Cloudflare Zero Trust は、SCIMバージョン2.0を使用するすべてのSAMLおよびOIDC IDプロバイダーのSCIMプロビジョニングをサポートしています。

Zero Trustポリシーのユーザーとグループの同期
Cloudflare Zero Trust は、IDプロバイダーで無効化されたユーザーをZero Trustから自動的にデプロビジョニングし、AccessおよびGatewayポリシービルダーで同期されたグループ名を表示できます。ユーザーはまずWARPクライアントでデバイスを登録するか、Accessアプリケーションで認証する必要があります。

Microsoft Entra ID との SSO / SCIM 連携

以下のドキュメントに記載の手順で設定できます。

トラブルシューティングのためのチェックポイント

Microsoft Entra ID 側でユーザ・グループ情報を変更したのに User Registry identity に反映されない...という場合は以下の点について確認します。

アプリケーションへのユーザーとグループの割り当てを確認する

SCIM 連携用の Enterprise Application に対象のユーザ・グループがアサインされているか確認してください。

SSO 連携用の Enterprise Application も同様のユーザ・グループがアサインされているか確認してください。

オンデマンドでプロビジョニングする

個別のユーザ・グループを対象に、手動でオンデマンドでプロビジョニングすることで情報がすぐに反映されるかを確認できます。

プロビジョニングログを確認する

Microsoft Entra ID でプロビジョニングログを確認できます。

Cloudflare Zero Trust 側では、Users > user's name > User Registry identity > Audit logs のタブから以下のようなログが確認できます。

• User logs · Cloudflare Zero Trust docs

User Registry identity: Select the user's name to view their last seen identity. This identity is used to evaluate Gateway policies and WARP device profiles. A refresh occurs when the user re-authenticates WARP, logs into an Access application, or has their IdP group membership updated via SCIM provisioning. To track how the user's identity has changed over time, go to the Audit logs tab.

40分以上待つ

実は Microsoft Entra ID の場合、自動でプロビジョニングされるサイクルのインターバルが 40 分で固定となっています。

そのため、反映に最大40分かかる仕様となっています。　自動で反映されるまで、40分以上待ちましょう。

• Provisioning interval(fixed): 40 minutes - can I change the time setting? - Microsoft Q&A

No, this is a fixed time and cannot be changed. Ran into this before and this was the answer provided by Microsoft Support. If you look carefully in the provisioning blade it also mentions this number is ‘fixed’.

• Enterprise Application Provisioning Interval (SCIM) to Realtime from 40 mins - Microsoft Q&A

Currently, it's not possible to reduce the provisioning interval from 40 mins.

まとめ

Cloudflare Zero Trust と Microsoft Entra ID を SCIM 連携した場合のトラブルシューティングについて、整理することができました。

Microsoft Entra ID との連携に関しては、以下の参考記事も載せておきます。