No1.Azure AD Connectを利用するケース
Azure AD Connectを利用している状態で、Microsoft 365と連携します。
また、Directory Syncを利用してActive DirectoryからIIJ IDにアカウントを同期します。
【参考】
ここに記載された内容は参考です。
実際の作業は、お客様の環境に合わせて実施してください。
連携のイメージ
Azure AD ConnectによりActive DirectoryからAzure ADにユーザを同期しつつ、Directory SyncによりActive DirectoryからIIJ IDにユーザを同期します。
また、ID同期されたAzure ADユーザとIIJ IDユーザでフェデレーションを行います。
Azure ADとのフェデレーション時の属性の関連付けのため、IIJ IDユーザのアプリケーション連携IDとIDはAzure ADユーザのimmutableIdとuserPrincipalNameとそれぞれ一致するようにDirectory Syncを設定します。
セットアップフロー例
| 1. 事前準備 | ||
|---|---|---|
| 1.1 Azure AD Connectのセットアップ | ||
| 1.2 Microsoft 365でのドメインの登録 | ||
| 1.3 Windows PowerShellのセットアップ | ||
| 1.4 Microsoft 365アプリケーションの追加 | ||
| 2. Directory Syncのセットアップ | ||
| 2.1 Directory Syncのセットアップ | ||
| 3. 連携設定 | ||
| 3.1 アプリケーションの基本設定の変更 | ||
| 3.2 Graph APIの設定 | ||
| 3.3 フェデレーションの設定 | ||
| 3.4 利用者の設定 | ||
Directory Syncの設定例
以下のように同期させます。
【参考】
実際に関連付けをするActive Directory属性は、Azure AD Connectの設定値に合わせる必要があります。
| Active Directory | IIJ ID | Azure AD | 備考 | ||
|---|---|---|---|---|---|
ms-DS-ConsistencyGuid objectGUID |
-> | アプリケーション連携ID(downstreamId) | -> | immutalbeId | ms-DS-ConsistencyGuidの値が空の場合にobjectGUIDの値が反映されます |
| userPrincipalName | -> | ID (userName) | -> | userPrincipalName |
config.ymlサンプル
log: |
loglevel: info |
ad: |
ldap: |
server: |
addresses: |
- 127.0.0.1 |
user: 'CN=administrator,CN=Users,DC=example,DC=jp' |
base_dn: 'DC=example,DC=jp' |
filter: |
user: 'memberOf:1.2.840.113556.1.4.1941:=CN=IID_IDaaS利用者グループ,OU=IID_Groups,DC=example,DC=jp' |
group: 'memberOf:1.2.840.113556.1.4.1941:=CN=IID_IDaaS利用者グループ,OU=IID_Groups,DC=example,DC=jp' |
iid: |
scim: |
attribute: |
user: |
default: |
emails: |
- primary: true |
ad_bind: |
externalId: userPrincipalName |
downstreamId: |
- mS-DS-ConsistencyGuid |
- objectGUID |
userName: userPrincipalName |
emails: |
- value: mail |
group: |
ad_bind: |
externalId: objectGUID |
displayName: name |