ブログ記事

Office365 Federation ImmutableID

2019/05/29

こんにちは、セシオスサポートチームです。

Office365ユーザが持つ「ImmutableID」にまつわる話です。「ImmutableID」とは、ユーザのフェデレーションIDであり、UPNとは違く、フェデレーションユーザを表す一意性のあるIDとなります。

ユーザには意識することがないですが、フェデレーションが有効となるOffice365環境(ドメイン)には不可欠な属性となります。powershellやAzure AD Connect、或は、弊社ID管理機能ありの製品(SeciossLink/SIME)含むID同期ツールを利用することで、Office365側のユーザにImmutableIDを作成することは可能です。

現状、Office365の管理コンソールからユーザを作成する場合、ImmutableIDの作成はできないようです。そのため、ドメインをフェデレーション構成した後、ユーザのImmutableIDが正しく作成されない限り、ログインができなくなります。

フェデレーション構成されたOffice365環境では、ImmutableIDは必須情報のため、認証情報を提供するIdPにはImmutableIDとしての情報を保持する必要があります。

ユーザがOffice365にアクセスし、認証のリクエストでIdP(SeciossLink)へリダイレクトされます。

認証リクエストの中でImmutableIDとUPNの提示がOffice365側に要求されます。

IdP側はユーザUPN及び保持されたImmutableID情報をユーザのブラウザ経由でOffice365に送信し、内容が正しければ、ユーザはOffice365にログインできるようになります。

MS社の同期ツールAzure AD Connectを利用する場合、Office365へ該当ユーザを作成する際に、ドメイン参加されているActive Directoryから、(標準設定では)ユーザのGUID情報を取得し、該当ユーザのImmutableIDが作成されます。しかし、この情報をIdP側に投入するためには、AD或はOffice365からImmutableIDを抽出する必要があります。

では、弊社ID同期機能を持たない、シングルサインオン製品Secioss Access Manager Enterprise (SAME)  のみ利用する場合、どうような利用構成になるでしょうか?

認証時に、SAMEが保持されているOpenLDAPのパスワードではなく、外部AD/LDAPにて認証させる「AD/LDAPS認証」機能があります。SAMEはこの機能を利用して、ADへ認証問合せを行う際に、自動でADからユーザのGUIDを取得し、ImmutableIDとしてOffice365のフェデレーション構成した際の認証に利用します。

最新記事

カテゴリ

アーカイブ

%d人のブロガーが「いいね」をつけました。