OneLoginとOffice 365をプロビジョニング連携させることにより、OneLogin上でユーザーを作成/変更/削除などを行った場合に、同様の内容をOffice 365側で自動的に反映させることができます。
これにより、OneLoginとOffice365のそれぞれの画面でユーザーアカウントを発行する必要がなくなります。
前提条件
本記事に記載しているプロビジョニングの機能を利用するには、以下の要件を満たしている必要があります。
- OneLoginのプランがUnlimted"であること
- xxx.onmicrosoft.comドメインのOffice 365"全体管理者"アカウントが存在している
- 独自ドメインが規定のドメインになっていない
※既定のドメインに対してフェデレーション設定ができないため
Office 365側の設定
全体管理者の確認
プロビジョニングの設定を行う際に、独自ドメインではない、"xxx.onmicrosoft.com"のドメインの全体管理者アカウントが必要になります。
Office 365に管理者でログインし、左側メニューから"ユーザー > アクティブなユーザー > 該当ユーザー"を選択し、"役割"が全体管理者になっていることを確認します。
"xxx.onmicrosoft.com"のドメインの全体管理者アカウントが存在しない場合、"+ユーザーを追加"を押して、全体管理者の役割を設定した、ユーザーを作成します。

ドメイン設定の確認
左側メニューから"セットアップ > ドメイン"を開き、"xxx.onmicrosoft.com"のドメインが規定になっていることを確認します。
既定になっていない場合、"xxx.onmicrosoft.com"のドメインを選択後、"既定に設定"をクリックします。
OneLogin側の設定
OneLoginに管理者アカウントでログインし、"Apps > Add Apps"を開き、検索欄に"Office 365"と入力し、
表示された"Office 365 V2"を選択します。

コネクタの表示名を設定し"SAVE"を押します。

"Configuration"を選択し、Office 365で利用する独自ドメインを入力し、"Verify"を押します。
ドメインの検証が完了すると、枠が緑色に変化します、失敗する場合は、Office 365のドメイン設定を見直してください。

次に"Office 365 V2(Azure Graph) OAuth"の"Authenticate"を押します。

以下のポップアップが表示されるので、"Office 365 V2"を押します。

全体管理者アカウントでログインしている状態で"承認"を押します。
※ログインしていない場合は、ログインが求められます。

承諾が完了すると"Office 365 V2(Azure Graph) OAuth"の"Authenticate"の項目が"Clear Token"に変化します。
承諾が失敗する場合、ログインしたアカウントに全体管理者の役割が付与されていない可能性があります。
次に、同じ手順で、"Office 365 V2(Microsoft Graph) OAuth"の"Authenticate"を押します。

以下のポップアップが表示されるので、"Office 365 V2"を押します。

アクセス要求の画面が表示されるので"組織の代理として同意する"にチェックを入れて"承諾"を押します。

承諾が正常に完了すると"Office 365 V2(Microsoft Graph) OAuth"の項目も"Clear Token"となります。

最後に"Provisioning"を開き"Enable provisioning"にチェックを入れて、"SAVE"を押します。

プロビジョニングの詳細設定
ユーザープロビジョニングは、初期設定の状態では、OneLogin上でユーザーを作成しても、管理者側で許可を行わないと、ユーザーの作成などが行われないようになっています。
以下の設定を行うことで、自動的にプロビジョニングを行うことができるようになります。
プロビジョニングの手動実行
設定を行った"Office 365 V2"コネクタから"Users"を開くことで、"待ち"状態になっているユーザーを確認できます。
プロビジョニングを実行するには、該当ユーザーを選択します。

プロビジョニングを実行するには"Approve"を押します。

プロビジョニングが完了すると"Provisioned"の表示になります。

プロビジョニングの自動実行
"Provisioning"を開き"Require admin approval before this action is performed"の項目でチェックが入っている場合、プロビジョニングが自動実行されない設定になっています。
以下の画像の例では、ユーザー追加、ユーザー削除、ユーザー情報のアップデートが自動的にプロビジョニングで行われないようになっています。
自動実行してよいものに関して、チェックを外して、右上の"SAVE"を押します。

"When users are deleted in OneLogin, or the user's app access is removed, perform the below action"の項目では、OneLogin側でユーザーが削除された際の、動作を設定します。
設定値は、以下の3種類から選択可能です。
- Delete
- Suspend
- Do Nothing

""の項目では、OneLogin側のユーザーアカウントが一時停止した場合の動作を設定します。
設定値は、以下の2つから選択可能です。
- Suspend
- Do Nothing
