シングルサインオン(SSO)の設定が終了したら、Azure Active Directory(AD)で Udemy Business向けのクロスドメインID管理システム( SCIM 2.0) のプロビジョニングを設定します。この設定により、プロビジョニング、プロビジョニング解除、グループの作成、グループメンバーシップの管理、ユーザープロフィールの詳細の変更(名前、メールアドレスなど)をAzure ADで行えます。変更の結果は、Udemy Businessに自動で反映されます。Azure ADおよびUdemy Businessの両方でこうした作業を別々に実施する必要がなくなり、Azure ADからすべて同期されるようになります。
Udemy BusinessアカウントでSCIMプロビジョニングを有効化するには、Udemy Businessアカウントにログインし、管理 > 設定 > プロビジョニング(SCIM)に進みます。
設定を開始をクリックし、指示に従ってSCIMを有効化します。シークレットトークン(Bearerトークン)を作成し、それをAzure ADに入力します。
メモ:
- SCIMをアクティブ化する前にSSOを有効にする必要があります
- シングルサインオンとプロビジョニングをご利用いただけるのは、Udemy Businessエンタープライズプランのお客様です。
- Azure ADでプロビジョニングが行われているユーザーは、Udemy Businessの初回ログインを行うまでライセンスを必要としません。
- SCIMプロビジョニングに変更を加えた場合、Azure ADからUdemy Businessへの同期のみ可能であり、逆はできません。
- Azure ADのSCIMで管理されているユーザーやグループにUdemy Businessアプリから変更を加えることはできません。ユーザーおよびグループのデータに関して信頼できる唯一の情報源はSCIMです。
- Azure ADに、Udemy Businessを利用しないユーザーや、除外すべきユーザー(請負業者、派遣社員)が含まれている場合は、これまでどおり手動でUdemy Businessでグループを作成してください。
Azure ADでSCIMプロビジョニングを設定する
- Udemy BusinessのSCIMプロビジョニングを有効化するには、Udemy Businessアカウントにログインして、「管理」 > 「設定」 > 「プロビジョニング(SCIM)」を開きます。
- 設定を開始をクリックして、IDプロバイダーを選択し、指示に従ってシークレットトークン(Bearer token)を作成し、それをAzure ADに入力します。
- 次に、Azure ADアカウントにアクセスし、Udemy Business SSOアプリを開きます。以下の手順に従って設定します。詳しくは、Azure ADによるSCIMプロビジョニングについて解説しているMicrosoftの設定ガイドを参照してください。
Azureポータルのプロビジョニングタブを開きます。
(メモ: 以下のスクリーンショットに表示されているudemyazureは、SCIMの設定方法を説明するためのテスト名です。インスタンスを設定する際にチームで命名したアプリを指定してください)
- 「プロビジョニングモード」で自動を選択します。
- 管理者資格情報セクションで次の操作を行います。
テナントの URL: https://yourdomain.udemy.com/scim/v2(yourdomainはお使いのUdemy BusinessアカウントのURL)
シークレット トークン: Udemy Businessアカウント内で生成および表示できる「Bearer」 トークンです(「管理」 > 「設定」 > 「ユーザー アクセス」の順に選択し、シークレット トークンを入手します)。 -
- テスト接続をクリックし、正しく機能することを確認します。
任意: エラーに関するアラートをAzureから受信するには、メールアドレスを入力します。
- マッピングで次の操作を行います。 ユーザーのメールアドレスがemails[type eq "work"].value にマッピングされるように、属性マッピングをオンにします。
- 設定で次の操作を行います。 「プロビジョニングの状態」ボタンをオンに切り替えます。
- ユーザーとグループを同期する範囲を選択します。
特定の従業員や部門だけがアクセスできるようにする必要がある場合は、Udemy Businessアプリに割り当てられているユーザーとグループに限定して同期するようにします。全従業員にアクセス権を付与する場合は、すべてのユーザーおよびグループを同期します。
Udemy Businessのアクセス権を持つユーザーとグループをプロビジョニング対象として追加するときは、次の操作を行います。
- ユーザーとグループをクリックします。
- ユーザーの追加をクリックします(ユーザーとグループの両方を追加するオプションが表示されます)。 アプリケーションに追加するユーザーまたはグループすべてを選択し、選択をクリックします。
トラブルシューティング
マッピング関連:
プロビジョニング時に次のエラーが発生した場合:
{"スキーマ":["urn:ietf:params:scim:api:messages:2.0:Error"],"ステータス":400,"詳細":"{'emails': ['このフィールドは必須です。']}"}
ユーザーのマッピングを変更してください。
emails[type eq "work"].valueをuserPrincipalNameにマッピングしてください。userPrincipalNameはメールアドレスの格納場所です。
「ユーザープロファイル」を開くと、メールアドレスが格納されているフィールドを確認できます。