Microsoft Entra ID 向け Agent

UCIDM はクラウドの Microsoft Entra ID から ID 情報を取得して UCIDM API に連携します。

• 前提条件
• Agent の永続化ディレクトリ
• 環境変数の設定
  • API サーバー

Microsoft Entra ID 向け Agent はコンテナとして稼働させます。次のように compose.yml に設定します。

  agent-meid:
    depends_on:
      - api
    container_name: agent-meid
    image: docker.io/osstech/ucidm-agent:latest
    logging: *default-logging
    volumes:
      - type: bind
        source: ./agent-data/meid
        target: ${AGENT_PAGE_KEY_PATH}
        bind:
          create_host_path: true
    entrypoint:
      - ./bin/agent
      - -verbose
      - -jsonl
    environment:
      TZ: "${TZ}"
      PAGE_KEY_PATH: "${AGENT_PAGE_KEY_PATH}"
      RELOAD_INTERVAL: "${AGENT_RELOAD_INTERVAL}"
      API_HOST: "${API_HOST}"
      API_PORT: "${API_PORT}"
      API_ACCOUNT_AUTH_USER: "${API_ACCOUNT_AUTH_USER}"
      API_ACCOUNT_AUTH_PASSWORD: "${API_ACCOUNT_AUTH_PASSWORD}"
    restart: "always"

前提条件

Microsoft Graph の デルタクエリを使用して変更を追跡 します。Agent モジュールからこれらの機能を使うための Microsoft Graph アプリケーションを登録する必要があります。登録した Microsoft Graph アプリケーションに適切な API のアクセス許可を設定してください。

• アクセス許可の種類
  • 「アプリケーションの許可」
• Microsoft Graph API の権限
  • CrossTenantInformation.ReadBasic.All
  • User.Read.All
  • Group.Read.All

Microsoft Graph アプリケーションの登録については Microsoft ID プラットフォームにアプリケーションを登録する などのドキュメントを参照してください。

Agent の永続化ディレクトリ

永続化が必要なファイルなどは volumes/agent-data/meid 配下に配置されます。

$ ls volumes/agent-data/meid

ここで参照する環境変数は .env に設定します。

環境変数の設定

接続する Microsoft Entra ID に関する設定は UCIDM API サーバーのシステム設定 で行います。

• Microsoft Entra ID から正常にエントリを取得して UCIDM API サーバーへの連携に失敗 (リトライしても失敗) したときは自動で復旧しません
  • 別途ツールで運用対応する 必要があります

API サーバー

接続する UCIDM API サーバーの設定をします。

• アカウント認証は agent アカウントの利用を推奨

UCIDM API サーバーへのリクエストに失敗 (ステータスコードが 500 以上を返す) したときのリトライの設定をします。