シングルサインオン(SSO)の設定が終了したら、Entra ID(旧Azure AD)で Udemy Business向けのクロスドメインID管理(SCIM 2.0) のプロビジョニングを設定します。この設定により、プロビジョニング、プロビジョニング解除、グループの作成、グループメンバーシップの管理、ユーザープロフィールの詳細の変更(名前、メールアドレスなど)をEntra IDで行えます。変更の結果は、Udemy Businessに自動的に 反映されます。Entra IDおよびUdemy Businessの両方でこうした作業を別々に実施する必要がなくなり、Entra IDからすべて同期されるようになります。
メモ: Entra IDは、以前はAzure ADという名称でした。
Udemy BusinessアカウントでSCIMプロビジョニングを有効化するには、Udemy Businessアカウントにログインし、管理 > 設定 > プロビジョニング(SCIM)に進みます。
設定を開始をクリックし、指示に従ってSCIMを有効化します。シークレットトークン(Bearerトークン)を作成し、それをEntra IDに入力します。
メモ:
- SCIMをアクティブ化する前にSSOを有効にする必要があります
- シングルサインオンとプロビジョニングをご利用いただけるのは、Udemy Businessエンタープライズプランのお客様です。
- Entra IDでプロビジョニングが行われているユーザーは、Udemy Businessの初回ログインを行うまでライセンスを必要としません。
- SCIMプロビジョニングに変更を加えた場合、Entra IDからUdemy Businessへの同期のみ可能であり、逆はできません。
- Entra IDのSCIMで管理されているユーザーやグループにUdemy Businessアプリから変更を加えることはできません。ユーザーおよびグループのデータに関して信頼できる唯一の情報源はSCIMです。
- Entra IDに、Udemy Businessを利用しないユーザーや、除外すべきユーザー(例: 請負業者、派遣社員)が含まれている場合は、これまでどおり手動でUdemy Businessでグループを作成してください。
Entra IDでSCIMプロビジョニングを設定する
1. Udemy BusinessのSCIMプロビジョニングを有効化するには、Udemy Businessアカウントにログインして、「管理」 > 「設定」 > 「プロビジョニング(SCIM)」を開きます。
2.設定を開始をクリックして、IDプロバイダーを選択し、指示に従ってシークレットトークン(Bearer token)を作成し、それをEntra IDに入力します。
3. 次に、Entra IDアカウントにアクセスし、Udemy Business SSOアプリを開きます。以下の手順に従って設定します。詳しくは、Entra IDよるSCIMプロビジョニングについて解説しているMicrosoftの設定ガイドを参照してください。
Azureポータルのプロビジョニングタブを開きます。
(メモ: 以下のスクリーンショットに表示されているudemyazureは、SCIMの設定方法を説明するためのテスト名です。インスタンスを設定する際にチームで命名したアプリを指定してください)
4. 「プロビジョニングモード」で自動を選択します。
5.管理者資格情報セクションで次の操作を行います。
テナントのURL: https://yourdomain.udemy.com/scim/v2(yourdomainはお使いのUdemy BusinessアカウントのURL)
シークレットトークン: Udemy Businessアカウント内で生成および表示できる「Bearer」 トークンです(「管理」 > 「設定」 > 「ユーザーアクセス」の順に選択し、シークレットトークンを入手します)。
6.テスト接続をクリックし、正しく機能することを確認します。
任意: エラーに関するアラートをAzureから受信するには、メールアドレスを入力します。
7.マッピングで次の操作を行います。
以下の属性マッピングを確認します。
以下の必須属性がcustomappsso属性に追加されていることを確認します。これらのフィールドは、SCIMプロビジョニングがUdemy内で機能するために必要です。
サポートされている属性
| SCIM属性 | 必須か | コース解説 |
| emails[type eq "work"].value | 可能 | ユーザーのメールアドレス。一意でなければなりません |
| userName | 可能 | IdPでのuserName。一意でなければなりません。 |
| アクティブ | 可能 | ユーザーを非アクティブ化/再アクティブするためのフラグ |
| externalId | 可能 | IdPにおけるユーザーのexternalId。一意でなければなりません。 |
|
urn:ietf:params:scim:schemas:extension: enterprise:2.0:User:employeeNumber |
可能 | EnterpriseSchemaからemployeeNumberフィールドを返し、external_idフィールドとして保存します。外部IDに送信する属性と一致している必要があります。 |
| name.givenName | 不可 | ユーザーのファーストネーム。必須ではありませんが、ユーザーの特定に役立つため、これらの属性を常に指定することをお勧めします。 |
| name.familyName | 不可 | ユーザーの姓。必須ではありませんが、ユーザーの特定に役立つため、これらの属性を常に指定することをお勧めします。 |
| name, { givenName, familyName } | 不可 | ユーザーの氏名。必須ではありませんが、ユーザーの特定に役立つため、これらの属性を常に指定することをお勧めします。 |
| title | 不可 | Userの肩書。例:「シニアエンジニア」。 |
|
urn:ietf:params:scim:schemas:extension: udemy:2.0:User:licensePoolName |
不可 | ライセンスプール名 |
属性Switch([IsSoftDeleted], , "False", "True", "True", "False")がアクティブにマッピングされ、ユーザーの非アクティブ化を引き継ぐことができることを確認します。
8. 「ユーザー属性マッピング」の一番下までスクロールし、詳細オプションの表示を有効にします。
customappssoの属性リストの編集を選択し、IDとuserNameの両方で大文字と小文字を区別するを有効にしました。
9. メインのプロビジョニング設定画面に戻ります。
10. ユーザーとグループを同期する範囲を選択します。
特定の従業員や部門だけがアクセスできるようにする必要がある場合は、Udemy Businessアプリに割り当てられているユーザーとグループに限定して同期するようにします。全従業員にアクセス権を付与する場合は、すべてのユーザーおよびグループを同期します。
Udemy Businessのアクセス権を持つユーザーとグループをプロビジョニング対象として追加するときは、次の操作を行います。
11.ユーザーとグループをクリックします。
12.ユーザーの追加をクリックします(ユーザーとグループの両方を追加するオプションが表示されます)。
アプリケーションに追加するユーザーまたはグループすべてを選択し、選択をクリックします。
トラブルシューティング
マッピング関連:
プロビジョニング時に次のエラーが発生した場合:
{"スキーマ":["urn:ietf:params:scim:api:messages:2.0:Error"],"ステータス":400,"詳細":"{'emails': ['このフィールドは必須です。']}"}
ユーザーのマッピングを変更してください。
emails[type eq "work"].valueをuserPrincipalNameにマッピングしてください。userPrincipalNameはメールアドレスの格納場所です。
「ユーザープロファイル」を開くと、メールアドレスが格納されているフィールドを確認できます。
ユーザーのプロビジョニングにエラーが発生した場合は、プロビジョニングログを見て詳細情報を確認できます。
- このログを取得するには、AzureのUdemyアプリに移動し、「プロビジョニング」 > 「プロビジョニングログ」 > 「影響を受けたユーザーを検索」 > 「トラブルシューティングと推奨」の順に進みます。
- 必要に応じてサポートチケットを開き、Azureプロビジョニングログのスクリーンショットを提示してください。Udemyがエラー内容を確認いたします。