No4.新規でMicrosoft 365と連携(Directory Syncの利用あり)
新規でMicrosoft 365を契約し、IIJ IDと連携します。
また、Directory Syncを利用してActive DirectoryからIIJ IDにID同期します。
【参考】
ここに記載された内容は参考です。
実際の作業は、お客様の環境に合わせて実施してください。
連携のイメージ
Directory SyncによりActive DirectoryからIIJ IDにユーザを同期します。
また、IIJ IDからAzure ADにユーザをプロビジョニングし、プロビジョニングされたユーザとのフェデレーションを行います。
セットアップフロー例
| 1. 事前準備 | ||
|---|---|---|
| 1.1 Microsoft 365でのドメインの登録 | ||
| 1.2 Windows PowerShellのセットアップ | ||
| 1.3 Microsoft 365アプリケーションの追加 | ||
| 2. Directory Syncのセットアップ | ||
| 2.1 Directory Syncのセットアップ | ||
| 3. 連携設定 | ||
| 3.1 アプリケーションの基本設定の変更 | ||
| 3.2 Graph APIの設定 | ||
| 3.3 プロビジョニングの設定 | ||
| 3.4 利用者の設定 | ||
| 3.5 フェデレーションの設定 | ||
Directory Syncの設定例
以下のように同期させます。
| Active Directory | IIJ ID | Azure AD | 備考 | ||
|---|---|---|---|---|---|
| ms-DS-ConsistencyGuid objectGUID | -> | アプリケーション連携ID(downstreamId) | -> | immutalbeId | ms-DS-ConsistencyGuidの値が空の場合にobjectGUIDの値が反映されます |
| userPrincipalName | -> | ID(userName) | -> | userPrincipalName |
config.yml サンプル
log:
loglevel: info
ad:
ldap:
server:
addresses:
- 127.0.0.1
user: 'CN=administrator,CN=Users,DC=example,DC=jp'
base_dn: 'DC=example,DC=jp'
filter:
user: 'memberOf:1.2.840.113556.1.4.1941:=CN=IID_IDaaS利用者グループ,OU=IID_Groups,DC=example,DC=jp'
group: 'memberOf:1.2.840.113556.1.4.1941:=CN=IID_IDaaS利用者グループ,OU=IID_Groups,DC=example,DC=jp'
iid:
scim:
attribute:
user:
default:
emails:
- primary: true
ad_bind:
externalId: userPrincipalName
downstreamId:
- mS-DS-ConsistencyGuid
- objectGUID
userName: userPrincipalName
emails:
- value: mail
group:
ad_bind:
externalId: objectGUID
displayName: name