先日 LogicApps に追加された Azure AD コネクタ、利用するまでにいろいろと悩んだ点がありましたので、メモ書きとして利用手順をまとめておきます。
追加されたコネクタは、トリガ無しでアクションのみ用意されています。
ユーザーの新規追加、変更、グループへの登録といった部分をはじめとして、基本的な操作が行えるようになっています。
このコネクタを LogicApps で利用する場合、対象となる Azure AD のドメインに属するユーザーが必要です。ドメインを管理できる権限を所持していても、別ドメインのアカウントであった場合はこのコネクタを利用する際に以下のエラーが発生します。
既にドメインに属するアカウントがあれば、それを利用するのもよいですが、新しく Azure AD 操作用にアカウントを用意するのもよいと思います。その場合の流れは次の通りです。
Azure ポータルから Azure Active Directory を選択し、「ユーザーとグループ」→「すべてのユーザー」と選択すると、上記のような一覧画面となりますので、上部にある「新しいユーザー」をクリック。
名前は適当に、ユーザー名に対象ドメインのメールアドレスを設定します。ここ、実在するアドレスでなくてはいけないかと思う人もいるかと思いますが、まったくそんなことはなく架空のアドレスで大丈夫です。
もう一つ、Azure AD コネクタを利用する際には、ある権限が必要になります。それはディレクトリの全体管理者である、というものですので、ディレクトリロールの箇所で「全体管理者」を設定します。制限付きの方でもできるかと色々試したのですが、今のところは全体管理者でなくてはできない模様です。
新規ユーザーを作成したら、そのユーザーで一度 Azure ポータルにログインし、パスワードの再設定を済ませておきます。
アカウントを用意したら LogicFlow を作成します。
コネクタを設置すると、サインインを求められるので「サインイン」をクリックします。
この際、ポータルにログインしているアカウントが対象ドメインのユーザーであればそのまま続行してもよいですが、先に作成した新しいアカウントを使う場合は「別のアカウントを使用する」を選択してください。サインインが無事に済むと、デザイナー画面へと戻ります。
Azure AD を利用する権限を持ったユーザーでサインインすると、上記のようにコネクタが利用できる状態になります。
作成した LogicFlow を実行すると、上記のように Azure AD を利用した処理ができているのが確認できます。
ポイントとしては、専用のアカウントを新しく作るのがわかりやすい、という点です。ここさえ押さえておけば LogicFlow から AzureAD を操作するのも非常に簡単です。
AD Connect を利用して、Azure AD とオンプレミス AD を同期するようにすれば、Azure AD 上でユーザー登録するとそのままオンプレミス側にも連携されるので、色々と使い方も膨らんでいくのではないでしょうか。
0 件のコメント:
コメントを投稿