権限貸出を準備する

権限貸出とは、認証プロバイダ（IdP）において、申請承認にもとづき利用者のアカウントを高権限グループへ一時的に所属させることで、必要な権限を利用可能にする機能です。
利用者は、承認された期間中、高権限グループに所属した状態のアカウントでクラウドサービスを利用できます。
ログイン先のクラウドサービスは「Cloud Console」ターゲットとして登録します。

権限貸出を利用できる認証プロバイダ（IdP）およびグループに設定する権限の種類は以下です。

ワークフローを準備する

１．「ワークフロー設定」タブをクリックし、「権限の貸出」を「利用する」に設定します。

２．「ワークフロー通知」タブをクリックし、「権限返却失敗通知」を有効化します。

３．「ワークフロー一覧」タブで「追加」ボタンをクリックし、「アカウント貸出方法」-「権限貸出」のチェックボックスにチェックを入れてワークフローを作成します。

ターゲットを準備する

認証プロバイダ (IdP)とCloud Consoleを準備します。

認証プロバイダ (IdP)ターゲットを準備する

ターゲットを登録する

１．「ターゲット」ページ左ペインのターゲットツリーで、新しくターゲットを追加したい階層、ルートまたは作成済みのターゲットグループを選択します。 次に、右ペインの「追加」ボタンをクリックしプルダウンメニューから「ターゲット追加」をクリックします。「ターゲット追加」画面が表示されます。

２．ターゲット種別で、権限貸出を利用できる「認証プロバイダ (IdP)」を選択します。

３．「ターゲット管理方式」で、アカウントの同期「する」を選択し、ウィザードの画面の案内に従って登録します。

アカウントを登録する

１．ターゲット画面で、事前に登録した認証プロバイダ (IdP)ターゲットを選択し「アカウント」タブで、「追加」ボタンまたは「アカウント同期・設定」ボタンをクリックしアカウントを登録します。

２．登録したアカウントの「詳細」タブにある「権限付与対象」を「対象とする」に、「利用可能iDoperationユーザ」を設定します。

・「ユーザを自動的に紐づける」チェックを入れる場合は、アカウント名とメールアドレスが一致するiDoperationユーザが存在すれば自動で紐づけを行います。
・「ユーザを自動的に紐づける」チェックを入れない場合は、手動でユーザのメールアドレスを設定します。

グループを登録する

このグループが権限貸出で設定されます。

１．ターゲット画面で、事前に登録した認証プロバイダ (IdP)ターゲットを選択し「グループ」タブで、「追加」ボタンをクリックします。

２．ターゲット側に存在するグループの「グループ名」と「OID」を入力し、グループを登録します。OIDの取得手順は以下です。

OIDの取得

１. Microsoft Entra管理センター「https://entra.microsoft.com/」にログインします。

２.「グループ」を選択します。

３.「すべてのグループ」を選択し、OIDを取得したいグループを選択します。

４．「概要」のオブジェクトIDにiDoperationで利用するOIDが表示されています。

Cloud Consoleを準備する

ターゲットを登録する

１．「ターゲット」ページ左ペインのターゲットツリーで、新しくターゲットを追加したい階層、ルートまたは作成済みのターゲットグループを選択します。
次に、右ペインの「追加」ボタンをクリックしプルダウンメニューから「ターゲット追加」をクリックします。「ターゲット追加」画面が表示されます。

２．ターゲット種別で、「Cloud Console」を選択します。

３．「ターゲット接続情報」の「認証プロバイダ (IdP)」で事前に登録した認証プロバイダ (IdP)ターゲットを選択し、ウィザードの画面の案内に従って登録します。