No1.Azure AD Connectを利用するケース
Azure AD Connectを利用している状態で、Microsoft 365と連携します。
また、Directory Syncを利用してActive DirectoryからIIJ IDにアカウントを同期します。
【参考】
ここに記載された内容は参考です。
実際の作業は、お客様の環境に合わせて実施してください。
連携のイメージ
Azure AD ConnectによりActive DirectoryからAzure ADにユーザを同期しつつ、Directory SyncによりActive DirectoryからIIJ IDにユーザを同期します。
また、ID同期されたAzure ADユーザとIIJ IDユーザでフェデレーションを行います。
Azure ADとのフェデレーション時の属性の関連付けのため、IIJ IDユーザのアプリケーション連携IDとIDはAzure ADユーザのimmutableIdとuserPrincipalNameとそれぞれ一致するようにDirectory Syncを設定します。
セットアップフロー例
| 1. 事前準備 | ||
|---|---|---|
| 1.1 Azure AD Connectのセットアップ | ||
| 1.2 Microsoft 365でのドメインの登録 | ||
| 1.3 Windows PowerShellのセットアップ | ||
| 1.4 Microsoft 365アプリケーションの追加 | ||
| 2. Directory Syncのセットアップ | ||
| 2.1 Directory Syncのセットアップ | ||
| 3. 連携設定 | ||
| 3.1 アプリケーションの基本設定の変更 | ||
| 3.2 Graph APIの設定 | ||
| 3.3 フェデレーションの設定 | ||
| 3.4 利用者の設定 | ||
Directory Syncの設定例
以下のように同期させます。
【参考】
実際に関連付けをするActive Directory属性は、Azure AD Connectの設定値に合わせる必要があります。
| Active Directory | IIJ ID | Azure AD | 備考 | ||
|---|---|---|---|---|---|
ms-DS-ConsistencyGuid objectGUID | -> | アプリケーション連携ID(downstreamId) | -> | immutalbeId | ms-DS-ConsistencyGuidの値が空の場合にobjectGUIDの値が反映されます |
| userPrincipalName | -> | ID (userName) | -> | userPrincipalName |
config.ymlサンプル
log:
loglevel: info
ad:
ldap:
server:
addresses:
- 127.0.0.1
user: 'CN=administrator,CN=Users,DC=example,DC=jp'
base_dn: 'DC=example,DC=jp'
filter:
user: 'memberOf:1.2.840.113556.1.4.1941:=CN=IID_IDaaS利用者グループ,OU=IID_Groups,DC=example,DC=jp'
group: 'memberOf:1.2.840.113556.1.4.1941:=CN=IID_IDaaS利用者グループ,OU=IID_Groups,DC=example,DC=jp'
iid:
scim:
attribute:
user:
default:
emails:
- primary: true
ad_bind:
externalId: userPrincipalName
downstreamId:
- mS-DS-ConsistencyGuid
- objectGUID
userName: userPrincipalName
emails:
- value: mail
group:
ad_bind:
externalId: objectGUID
displayName: name