Azure Active Directory B2C を使用した TheAccessHub 管理ツールの構成

このチュートリアルでは、Azure Active Directory B2C (Azure AD B2C) を N8 Identity N8ID の TheAccessHub 管理ツールと統合する方法について説明します。 このソリューションは、顧客アカウントの移行と顧客サービス要求 (CSR) 管理に対応します。

このソリューションは、次のシナリオで使用します。

• サイトがあり、Azure AD B2C に移行したいと考えています。
  • ただし、パスワードを含め、顧客アカウントの移行は困難です。
• Azure AD B2C アカウントを管理するには、CSR ツールが必要です。
• CSR管理の委任が必須条件です。
• リポジトリのデータを同期して Azure AD B2C に結合する必要があります。

[前提条件]

開始するには、次のものが必要です。

• Azure サブスクリプション

  • お持ちでない場合は、Azure の無料アカウントを取得できます

• Azure サブスクリプションにリンクされた Azure AD B2C テナント
• TheAccessHub 管理ツール環境
  • 新しい環境については、N8 Identity のお問い合わせに関するページを参照してください
• 省略可能:
  • 顧客データの移行元となるデータベースまたはライトウェイト ディレクトリ アクセス プロトコル (LDAP) の接続情報と認証情報
  • TheAccessHub 管理ツールをサインアップ ポリシー フローに統合するための カスタム ポリシー 用に構成された Azure AD B2C 環境

シナリオの説明

TheAccessHub 管理ツールは、N8ID Azure サブスクリプションまたは顧客サブスクリプションで実行されます。 次のアーキテクチャ図は、実装を示しています。

1. ユーザーがサインイン ページにアクセスし、アカウントを作成して、情報を入力します。 Azure AD B2C はユーザー属性を収集します。
2. Azure AD B2C は TheAccessHub 管理ツールを呼び出し、ユーザー属性を渡します。
3. AccessHub 管理ツールは、データベースで現在のユーザー情報を確認します。
4. ユーザーレコードは、データベースからTheAccessHub管理ツールに同期されます。
5. TheAccessHub 管理ツールは、委任された CSR またはヘルプデスク管理者とデータを共有します。
6. TheAccessHub 管理ツールは、ユーザー レコードを Azure AD B2C と同期します。
7. TheAccessHub 管理ツールの応答に基づいて、Azure AD B2C はカスタマイズされたウェルカム メールをユーザーに送信します。

Azure AD B2C テナントに外部 ID プロバイダー管理者と B2C ユーザー フロー管理者を作成します

TheAccessHub 管理ツールのアクセス許可は、外部 ID プロバイダー管理者と B2C ユーザー フロー管理者に代わって機能し、Azure AD B2C テナントでユーザー情報を読み取り、変更を行います。 通常の管理者を変更しても、TheAccessHub 管理ツールとテナントとのやり取りには影響しません。

外部 ID プロバイダー管理者と B2C ユーザー フロー管理者を作成するには、次のようにします。

1. Azure portal で、管理者として Azure AD B2C テナントにサインインします。
2. [Microsoft Entra ID]>[ユーザー] の順に移動します。
3. 新しいユーザーを選択します。
4. [ Create User ] を選択して、顧客ではなく通常のディレクトリ ユーザーを作成します。
5. ID 情報フォームで、次の操作を行います。

• ユーザー名 (theaccesshub など) を入力します。
• TheAccessHub Service Account などの アカウント名を入力します。

7. [ パスワードの表示] を選択します。
8. 初期パスワードをコピーして保存します。
9. 外部 ID プロバイダー管理者と B2C ユーザーフロー管理者のロールを割り当てるには、 [ ユーザー] で、ユーザーの現在のロールを選択します。
10. [外部 ID プロバイダ管理者] レコードと [B2C ユーザフロー管理者] レコードを選択します。
11. を選択してを作成します。

TheAccessHub 管理ツールを Azure AD B2C テナントに接続する

TheAccessHub 管理ツールは、Microsoft Graph API を使用してディレクトリの読み取りと変更を行います。 これは、テナントの外部 ID プロバイダー管理者および B2C ユーザー フロー管理者として機能します。 次の手順を使用して、必要な権限を追加します。

TheAccessHub 管理ツールがディレクトリにアクセスすることを承認するには:

1. 提供された資格情報 N8 ID を使用して、TheAccessHub 管理ツールにサインインします。
2. [システム管理者] >[Azure AD B2C 構成] に移動します。
3. [接続の承認] を選択します。
4. 新しいウィンドウで、外部 ID プロバイダー管理者と B2C ユーザー フロー管理者アカウントでサインインします。 新しいサービス アカウントで初めてサインインすると、パスワードのリセットを求めるプロンプトが表示される場合があります。
5. プロンプトに従って、[ 同意する] を選択します。

新しい CSR ユーザーをエンタープライズ ID で構成する

エンタープライズMicrosoft Entraの資格情報を使用してTheAccessHub管理ツールにアクセスするCSRまたはヘルプデスクユーザーを作成します。

CSRまたはヘルプデスクユーザーをシングルサインオン(SSO)で設定するには:

1. 提供された資格情報 N8 ID を使用して、TheAccessHub 管理ツールにサインインします。
2. [マネージャーツール] >[同僚の管理] に移動します。
3. [ 仕事仲間の追加] を選択します。
4. [仕事仲間の種類] で、 [Azure 管理者] を選択します。
5. プロファイル情報に関しては、このユーザーを管理する権限を持つホーム組織を選択します。
6. [ログイン ID/Azure AD ユーザー名] に、ユーザーの Microsoft Entra アカウントのユーザー プリンシパル名を入力します。
7. TheAccessHub の [ロール] タブで、Helpdesk 管理ロールを選択します。
8. 送信を選択します。

新しい ID を持つ新しい CSR ユーザーの設定

CSR またはヘルプデスク ユーザーを作成して、新しいローカル資格情報を使用して TheAccessHub 管理ツールにアクセスします。 このユーザーは、Microsoft Entra ID を使用していない組織用です。

「AccessHub 管理ツール: SSO を使用しない同僚管理者の追加」を参照してください。

1. 提供された資格情報N8IDを使用して、TheAccessHub管理ツールにサインインします。
2. [マネージャーツール] >[同僚の管理] に移動します。
3. [ 仕事仲間の追加] を選択します。
4. [仕事仲間の種類] で [ローカル管理者] を選択します。
5. プロファイル情報に関しては、このユーザーを管理する権限を持つホーム組織を選択します。
6. TheAccessHub の [ロール] タブで、Helpdesk 管理ロールを選択します。
7. 「ログイン ID/電子メール」属性と「ワンタイムパスワード」属性をコピーします。 新しいユーザーにそれらを提供して、TheAccessHub 管理ツールにサインインします。
8. 送信を選択します。

パーティション分割された CSR 管理を構成する

TheAccessHub 管理ツールでは、顧客ユーザーおよび CSR/ヘルプデスク ユーザーを管理する権限は、組織階層を通じて管理されます。 同僚と顧客には本拠組織があります。 同僚または同僚グループを組織の所有者として割り当てることができます。

組織の所有者は、自分が所有する組織または下位組織の同僚や顧客を管理および変更できます。 複数の同僚が一連のユーザーを管理するには、複数のメンバーを含むグループを作成します。 次に、グループを組織の所有者として割り当てます。 すべてのグループ メンバーは、組織内の同僚と顧客を管理できます。

新しいグループを作成する

1. 提供された資格情報N8IDを使用して、TheAccessHub管理ツールにサインインします。
2. [組織] > [グループの管理] に移動します。
3. [グループの追加] を選択します。
4. [グループ名]、[グループの説明]、および [グループの所有者] に値を入力します。
5. グループに追加するメンバーとして同僚を検索し、チェックボックスを選択します。
6. [] を選択し、[] を追加します。
7. グループメンバーはページの下部に表示されます。 行の [X ] を選択して、メンバーを削除します。
8. 送信を選択します。

新しい組織を作成する

1. 提供された資格情報N8IDを使用して、TheAccessHub管理ツールにサインインします。
2. 「組織>組織の管理」に移動します。
3. [組織の追加] を選択します。
4. [組織名]、[組織の所有者]、および [親組織] に値を入力します
5. 送信を選択します。

ツリービューによる階層の変更

この機能を使用して、同僚とグループの管理を視覚化します。

1. 提供された資格情報N8IDを使用して、TheAccessHub管理ツールにサインインします。
2. [Manager Tools] >[Tree View] に移動します。
3. 階層を変更するには、組織を親組織にドラッグします。
4. 保存 を選択します。

ウェルカム通知をカスタマイズする

TheAccessHub 管理ツールを使用して 1 つのソリューションから Azure AD B2C にユーザーを移行している場合は、ユーザーのウェルカム通知をカスタマイズできます。 この通知は移行中にユーザーに送信され、Azure AD B2C ディレクトリに新しいパスワードを設定するためのリンクを含めることができます。

通知をカスタマイズするには:

1. 提供された資格情報N8IDを使用して、TheAccessHub管理ツールにサインインします。
2. [システム管理者>通知] に移動します。
3. [同僚の作成] テンプレートを選択します。
4. [編集] を選択します。
5. メッセージとテンプレートに必要な変更を加えます。 [テンプレート] フィールドは HTML に対応しており、HTML 形式の通知を送信できます。
6. 保存 を選択します。

外部データ ソースから Azure AD B2C にデータを移行する

TheAccessHub 管理ツールを使用すると、さまざまなデータベース、LDAP、.csv ファイルからデータをインポートし、そのデータを Azure AD B2C テナントにプッシュできます。 TheAccessHub 管理ツールで Azure AD B2C ユーザーの仕事仲間の種類に移行するデータを読み込みます。

データ ソースを構成する

1. 提供された資格情報N8IDを使用して、TheAccessHub管理ツールにサインインします。
2. [System Admin] >[Data Sources] に移動します。
3. データ ソースの追加を選択します。
4. このデータ・ソースの 「名前」 と 「タイプ」 の値を指定します。
5. データベースのフォームデータを入力します。

• タイプ: データベース
• データベース・タイプ: サポートされているデータベースを選択します
• 接続URL: Java Database Connectivity(JDBC)接続文字列を入力します(例: jdbc:postgresql://myhost.com:5432/databasename
• ユーザー名: データベースにアクセスするためのユーザー名
• パスワード:データベースにアクセスするためのパスワード
• クエリ: SELECT * FROM mytable;' などの顧客の詳細を抽出する SQL クエリ
• [接続テスト] を選択します。 接続が機能していることを確認するデータサンプルが表示されます。

6. LDAPのフォームデータを入力します。

• タイプ: LDAP
• ホスト: LDAPサーバが稼働しているマシンのホスト名またはIPアドレス mysite.com
• ポート: LDAP サーバーがリッスンしているポート番号
• [SSL]で、TheAccessHub 管理ツールが SSL を使用して LDAP と通信するためのボックスを選択します (推奨)。
• ログイン DN: サインインして LDAP 検索を行うためのユーザー アカウントの識別名 (DN)
• Password: ユーザーパスワード
• ベースDN:検索を実行する階層の最上位にあるDN
• フィルター: 顧客レコードを取得するための LDAP フィルター文字列
• 属性: 顧客レコードからのコンマ区切りの属性リストをTheAccessHub管理ツールに渡します
• テスト接続を選択します。 接続が機能していることを確認するデータサンプルが表示されます。

7. OneDrive のデータを入力します。 「OneDrivefor Business」と入力します。
8. [接続の承認] を選択します。
9. 新しいウィンドウが開き、OneDrive にサインインするように求められます。 OneDrive アカウントへの読み取りアクセス権でサインインします。 TheAccessHub 管理ツールは .csv ロードファイルを読み取ります。
10. プロンプトに従って、[ 同意する] を選択します。
11. 保存 を選択します。

データ ソースから Azure AD B2C にデータを同期する

1. 提供された資格情報N8IDを使用して、TheAccessHub管理ツールにサインインします。
2. [System Admin>Data Synchronization]に移動します。
3. [新しい負荷] を選択します。
4. 仕事仲間の種類: Azure AD B2C ユーザー。
5. [ソース] を選択します。 ダイアログで、データソースを選択します。 OneDrive データ ソースを作成した場合は、ファイルを選択します。
6. 新しい顧客アカウントを作成するには、最初のポリシーを変更します (TheAccessHub に同僚が見つからない場合: 何も しない)。
7. 顧客アカウントを更新するには、2 番目のポリシーである IF ソースと TheAccessHub データの不一致 THEN:何もしない を変更します。
8. [次へ] を選択します。
9. Search-Mapping 構成で、TheAccessHub 管理ツールで顧客との負荷レコードの相関関係を特定します。
10. ソース識別属性を選択します。 TheAccessHub 管理ツールの属性を同じ値で一致させる。 一致がある場合、レコードはオーバーライドされます。 それ以外の場合は、新しい顧客が作成されます。
11. チェックの数を順序付けします。 たとえば、まずメールを確認し、その後に名前と苗字を確認します。
12. 左側のメニューで、[ データ マッピング] を選択します。
13. Data-Mapping 構成で、ソース属性から設定する TheAccessHub 管理ツール属性を割り当てます。 マッピングされていない属性は、顧客に対して変更されません。 属性 org_name を現在の組織の値にマップすると、作成された顧客は組織内に入ります。
14. [次へ] を選択します。
15. この負荷を繰り返すには、[ 毎日/毎週] または [ 毎月] を選択します。 それ以外の場合は、デフォルトの [Now] のままにします。
16. 送信を選択します。
17. Now スケジュールの場合、新しいレコードが [データ同期] に追加されます。
18. 検証が 100% の場合は、新しいレコードを選択して結果を確認します。 スケジュールされたロードの場合、レコードはスケジュールされた時刻の後に表示されます。
19. エラーがない場合は、[ 実行] を選択します。 それ以外の場合、負荷を削除するには、[ 詳細 ] メニューの [ 削除] を選択します。
20. エラーがある場合は、レコードを手動で更新できます。 各レコードで、[ 更新 ] を選択し、修正します。
21. データ同期が 100% の場合、お客様は Azure AD B2C で変更を表示または受信します。

Azure AD B2C の顧客データを同期する

TheAccessHub 管理ツールは、Azure AD B2C から TheAccessHub 管理ツールに顧客情報を 1 回限りまたは継続的な操作として同期できます。 この操作により、CSR 管理者またはヘルプデスク管理者は、up-to日付の顧客情報を確認できます。

Azure AD B2C から TheAccessHub 管理ツールにデータを同期するには:

1. 提供された資格情報N8IDを使用して、TheAccessHub管理ツールにサインインします。
2. [System Admin>Data Synchronization]に移動します。
3. [新しい負荷] を選択します。
4. 仕事仲間の種類: Azure AD B2C ユーザー。
5. [オプション] はデフォルトのままにします。
6. [次へ] を選択します。
7. Data Mapping & Search は、デフォルトのままにします。 例外: 属性 org_name を現在の組織の値にマップすると、作成された顧客は組織に表示されます。
8. [次へ] を選択します。
9. 負荷を繰り返すには、 毎日/毎週 、または 毎月の スケジュールを選択します。 それ以外の場合は、現在のデフォルトのままにします。 繰り返し実行することをお勧めします。
10. 送信を選択します。
11. [今すぐ] を選択した場合は、新しいレコードが [データ同期] に表示されます。 検証が 100% になったら、新しいレコードを選択して読み込みの結果を確認します。 スケジュールされたロードの場合、レコードはスケジュールされた時刻の後に表示されます。
12. エラーがない場合は、[ 実行] を選択します。 それ以外の場合、負荷を削除するには、[ 詳細 ] メニューの [ 削除] を選択します。
13. エラーがある場合は、各レコードを手動で更新し、[ 更新] を選択します。
14. データ同期が 100% の場合、変更が開始されます。

Azure AD B2C ポリシーを構成する

TheAccessHub 管理ツールをときどき同期する場合は、Azure AD B2C で最新でない可能性があります。 TheAccessHub 管理ツール API と Azure AD B2C ポリシーを使用して、TheAccessHub 管理ツールに変更を通知できます。 このソリューションには、 Azure AD B2C カスタム ポリシーに関する技術的な知識が必要です。

TheAccessHub 管理ツール API を呼び出すための安全な資格情報を作成する

サインアップ カスタム ポリシーの場合、次の手順で、セキュリティで保護された証明書を有効にして、TheAccessHub 管理ツールに新しいアカウントを送信します。

1. TheAccessHub 管理ツールにサインインするには、提供された資格情報 N8ID を使用します。
2. [System Admin>Admin Tools>API Security] に移動します。
3. [Generate] \(生成) を選択します。
4. 証明書のパスワードをコピーします。
5. クライアント証明書の場合は、[ ダウンロード] を選択します。
6. 「HTTPS クライアント証明書認証」の手順を使用して、クライアント証明書を Azure AD B2C に追加します。

カスタムポリシーの例を取得する

1. 提供された資格情報 N8 ID を使用して、TheAccessHub 管理ツールにサインインします。
2. [System Admin>Admin Tools>Azure B2C Policies] に移動します。
3. Azure AD B2C テナント ドメインと、Identity Experience Framework 構成から 2 つの Identity Experience Framework ID を指定します。
4. 保存 を選択します。
5. [ ダウンロード ] を選択すると、顧客のサインアップ時に TheAccessHub 管理ツールに顧客を追加する基本ポリシーを含む .zip ファイルが取得されます。
6. Azure AD B2C でカスタム ポリシーを設計するには、「 ユーザー フローを作成する」の手順を使用します。

次のステップ

• Azure AD B2C のカスタム ポリシー
• Azure AD B2C でカスタム ポリシーを始める