Microsoft 365 Federation ImmutableID

schedule 2019/05/29  refresh 2023/11/08

 
こんにちは、セシオスサポートチームです。
 

Microsoft365ユーザが持つ「ImmutableID」にまつわる話です。「ImmutableID」とは、ユーザのフェデレーションIDであり、UPNとは違く、フェデレーションユーザを表す一意性のあるIDとなります。

 

ユーザには意識することがないですが、フェデレーションが有効となるMicrosoft365環境(ドメイン)には不可欠な属性となります。powershellやAzure AD Connect、或は、弊社ID管理機能ありの製品(SeciossLink/SIME)含むID同期ツールを利用することで、Microsoft365側のユーザにImmutableIDを作成することは可能です。

 

現状、Microsoft365の管理コンソールからユーザを作成する場合、ImmutableIDの作成はできないようです。そのため、ドメインをフェデレーション構成した後、ユーザのImmutableIDが正しく作成されない限り、ログインができなくなります。

 

フェデレーション構成されたMicrosoft365環境では、ImmutableIDは必須情報のため、認証情報を提供するIdPにはImmutableIDとしての情報を保持する必要があります。

 
20190529_1
 
 
ユーザがMicrosoft365にアクセスし、認証のリクエストでIdP(SeciossLink)へリダイレクトされます。

認証リクエストの中でImmutableIDとUPNの提示がMicrosoft365側に要求されます。

 

IdP側はユーザUPN及び保持されたImmutableID情報をユーザのブラウザ経由でMicrosoft365に送信し、内容が正しければ、ユーザはMicrosoft365にログインできるようになります。

 

MS社の同期ツールAzure AD Connectを利用する場合、Microsoft365へ該当ユーザを作成する際に、ドメイン参加されているActive Directoryから、(標準設定では)ユーザのGUID情報を取得し、該当ユーザのImmutableIDが作成されます。しかし、この情報をIdP側に投入するためには、AD或はMicrosoft365からImmutableIDを抽出する必要があります。

 

では、弊社ID同期機能を持たない、シングルサインオン製品Secioss Access Manager Enterprise (SAME)  のみ利用する場合、どうような利用構成になるでしょうか?

 

 
20190529_2
 
 
認証時に、SAMEが保持されているOpenLDAPのパスワードではなく、外部AD/LDAPにて認証させる「AD/LDAPS認証」機能があります。
 
SAMEはこの機能を利用して、ADへ認証問合せを行う際に、自動でADからユーザのGUIDを取得し、ImmutableIDとしてMicrosoft365のフェデレーション構成した際の認証に利用します。