プロビジョニングマニュアル

---

1. 概要

1.1 目的

エンタープライズ環境において、多数のユーザーや複雑な組織構造を正確かつ迅速に管理システムへ反映することは、運用負荷およびセキュリティの観点から極めて重要です。

以下の3点を主な目的としてID連携システムの構築を行っています。

1. 効率的なデータデプロイの実現
   CSV等のフラットファイルや簡易的なコネクタを活用し、大量のユーザー・組織データをIGAへ一括登録する最短の手順を確立します。
2. 認証基盤（IDApex IAM）とのシームレスな連携
   IGAを「情報のソース（信頼できる情報源）」、**IDApex IAM**を「認証の入り口」として位置づけ、両者を連携させることでシングルサインオン（SSO）環境の土台を構築します。
3. 統合的なパスワード・ライフサイクル管理
   IGA上で一元管理されたパスワード情報を**IDApex IAM**へ同期することにより、ユーザーの利便性を損なうことなく、一貫したパスワードポリシーの適用とセキュアなアカウント運用を実現します。

1.2 前提条件

本書記載の作業を開始するための前提条件です。

表 1-1

前提条件	備考
インターネットに接続されていること。	IDApex IGA はインターネットを通じて操作を行います。
IDApex IGAの管理コンソール画面が開ける管理者権限があること	－

1.3 全体の流れ

本システムのデプロイメントは、定義情報のインポートから始まり、データ連携、外部基盤へのプロビジョニングへと段階的に実施します。全体のフローは以下の通りです。

1. 設定情報のインポート（スキーマ・リソース定義）
   まず、IGAの管理環境を構築するための定義ファイル（XML形式）をインポートします。
   これにより、ユーザー属性の拡張や、CSVおよびIDApex IAMと通信するためのリソース設定がシステム内に構成されます。

2. ソースデータの準備とアップロード
   登録対象となるユーザーおよび組織情報を記載したCSVデータを作成します。
   作成後、専用のバッチファイルを実行することで、ローカル環境からCSVファイルをIGAサーバーの特定ディレクトリへアップロードします。

3. IGA オブジェクトの生成（インバウンド同期）
   IGAの管理画面（UI）よりインポート・タスクを実行します。
   それにより、システムがアップロードされたCSVファイルを読み取り、各行のデータを「ユーザー」および「組織」オブジェクトとしてリポジトリ内へ自動生成・登録します。

4. IDApex IAM連携と外部プロビジョニング（アウトバウンド同期）
   生成された組織オブジェクトに対して、IDApex IAM連携用のコネクタ（プロジェクション設定）を付与します。
   これにより、IGA上のユーザー情報およびパスワード情報がIDApex IAMへリアルタイムで連携され、認証基盤としての利用が可能となります。

2. プロビジョニングの前準備

ここではIGAにプロビジョニングするのに必要なリソースをデプロイするため、

XMLファイルのインポート方法について説明します。

2.1 XMLファイルのインポート

1. IGAのUI画面にログインします。

2. 「オブジェクトのインポート」を開きます。
   

3. 「ファイルの選択」を押下し、インポートするXMLファイルを選択します。

4. 「オブジェクトのインポート」を押下します。 インポートが必要なXMLファイル一覧を下記にまとめました。

   表2-1

   XMLファイル名	種類	説明
   TASK-IMPORT-USER-CSV-UT.xml	タスク	ユーザーのIGAへのインポート用タスク
   TASK-IMPORT-ORG-CSV-TEST1-UT.xml	タスク	組織のIGAへのインポート用タスク
   ReconciliationTask-RES-KC-USER-R-TEST1-UT.xml	タスク	IGAからIDApex IAMへのデータ再読み込み用タスク
   TASK-Cleanup.xml	タスク	クリーンアップ用タスク
   TASK-Recomptation.xml	タスク	再計算用タスク
   TASK-SBA-COMMON-CSV-WRITE.xml	タスク	オブジェクトからCSVファイルを書き出す処理
   TASK-DISABLED-USER-CLEANUP	タスク	ユーザーが無効化されている場合、無効化されてから一定の日が経過したものを自動削除。定期的に実行する運用を想定。
   RES-CSV-USER-TEST1-UT.xml	リソース	ユーザーデータ用リソース
   RES-CSV-ORG-TEST1-UT.xml	リソース	組織データ用リソース
   RES-KC-USER-R-TEST1-UT.xml	リソース	IGAからIDApex IAMへのデータコネクタ
   ROLE-BR-SYS-CSVUPLOAD.xml	ロール	CSVアップロード許可を持つロール
   SA-kanri.xml	ユーザー	CSVアップロードAPI実行用サービスアカウント

3. CSVファイルのインポート

ここではIGAにプロビジョニングするユーザー及び組織情報をまとめるCSVファイルの作成について説明します。

3.1 インポートするCSVファイルの作成

下記CSVファイルを作成します。

列名を下記一覧にまとめております。

• CSVファイル① : users-ut.csv ※ユーザーデプロイ用CSVファイルになります。

  表 3-1

  列	説明
  社員番号	IGA、IDApex IAM内部でユーザー識別のために割り当てる番号をご記載ください。例: HR0001
  姓	姓を漢字でご記載ください。
  名	名前を漢字でご記載ください。
  姓カナ	姓をカタカナでご記載ください。
  名カナ	名前をカタカナでご記載ください。
  生年月日	YYYY-MM-DDでご記載ください。
  入社日	YYYY-MM-DDでご記載ください。
  退職日	YYYY-MM-DDでご記載ください。
  性別	男性もしくは女性を記載してください。
  メールアドレス	ご自身で使用されているメールアドレスをご記載ください。
  部門コード1	組織に割り当てているコードをご記載ください。
  役職コード1	組織に割り振られている役職コードをご記載ください。
  所属開始日1	組織に所属を開始した日付をご記載ください。
  部門コード2	組織に割り当てているコードをご記載ください。
  役職コード2	組織に割り振られている役職コードをご記載ください。
  所属開始日2	組織に所属を開始した日付をご記載ください。

  

• CSVファイル② : org-ut.csv ※組織デプロイ用CSVファイルになります。

  表 3-2

  列	説明
  部門コード	IGA内で識別するために、部門に割り振るコードをご記入ください。
  部門名	例: 営業第一課
  親部門コード	例: 2001

  

3.2 スクリプトの実行

1. MpCsvApi.exeをダウンロードしてください。

2. 下記のファイルを同じフォルダー内に格納してください。

   列	説明
   users-ut.csv	ユーザー情報をまとめております。
   org-ut.csv	組織情報をまとめております。
   MpCsvApi.exe	IGAサーバーにユーザー、組織CSVを格納するためのスクリプトです。

3. PowerShellを起動し、MpCsvApi.exeの存在するフォルダーに移動してください。
   

   

4. 下記のコマンドを一部置き換えて実行してください。

   ※ユーザー用CSV、組織用CSVでそれぞれ実行します。

   .\MpCsvApi.exe --host "https://IGAtenant5.XXXX.com" --port 443 --csv "./users-ut.csv" -out "users-ut.csv" --auth "administrator:TestUser12345"
   

   表 3-4

   オプション	入力内容	例
   --host	IGAのURL ※変更対象	https://IGAtenant5.XXXX.com
   --port	ポート番号	443
   --csv	ユーザーCSV	./users-ut.csv ./org-ut.csv
   -out	同名CSV	users-ut.csv org-ut.csv
   --auth	ユーザー名: PW ※変更対象	administrator:TestUser12345

下記のようになれば、完了です。

3.3 タスク実行

ここでは、CSVファイルの記載内容をIGAにユーザー、組織として取り込むタスクを

実行する方法について説明します。

1. IGAのUI上で「サーバー・タスク」> 「インポート・タスク」を押下します。
   

2. 下記タスク2つのボタンをそれぞれ押下し、開きます。

   • TASK-IMPORT-USER-CSV-UT

   • TASK-IMPORT-ORG-TEST1-UT

   「今すぐ実行」を押下します。

   

3. 下記の画面を確認します。

   • 「ユーザー」>「すべてのユーザー」

   • 「組織構造」>「すべての組織」

   ユーザー、組織が作成されていることが確認できます。

   • 作成されたユーザーの例

     

   • 作成された組織の例

     

4. IGAとIDApex IAMの連携

ここでは、IGAに登録されているユーザー情報をIDApex IAMに連携する方法を説明します。

4.1 リソース付与

1. IGAホームページを開きます。

2. 「組織構造」ー「すべての組織」ー「組織名」ー「インデュースメント」＞「すべて」を押下します。
   

   

3. アイコンを押下し、「リソース」タブから、下記のリソースを選択し、右下の「追加」を押下します。

   • RES-KC-USER-R-TEST1-UT

4. 下記のようになっていれば正常に組織に追加できております。
   

4.2 タスク実行

1. 「サーバー・タスク」> 「インポート・タスク」を押下します。

   以下のタスクを開きます。

   • Reconciliation task: RES-KC-USER-R-TEST1-UT: アカウント/default

   ※IGAのユーザー情報がIDApex IAMに連携されていない場合、本操作を再度行ってください。

   

2. 「今すぐ実行」を押下します。
   

3. IDApex IAMにログインします。
   

4. 「ユーザー」を押下し、IGAに登録したユーザーが表示されることを確認します。
   

5. オープンソフトウェア(OSS)の利用

本書が対象とするシステムには、オープンソースコミュニティによって開発されたソフトウェアが含まれています。

5.1 対象ソフトウェア

本書では、以下の OSSを使用したソフトウェアの利用手順を説明しています。

表 5-1

項目	内容
ソフトウェア名	IGA
バージョン	4.8.9
ライセンス名	Apache License, Version 2.0
URL	https://www.apache.org/licenses/LICENSE-2.0
配布元	https://github.com/Evolveum/IGA

---

📥 PDFとして保存
📥Word形式でダウンロード