Directory SyncでIIJ IDユーザのIDを変更したときの影響を知りたい

Directory SyncにてActive DirectoryからIIJ IDサービスにユーザを同期している場合、そのユーザのIDに関連付けされたActive Directoryの属性値を変更したときのDirectory Syncの挙動と、各サービスへの影響は以下のとおりです。

Directory Syncの挙動

IIJ IDユーザのIDに関連付けされたActive Directoryの属性値を変更したとき、Directory Syncでは次の処理が行われます。

  1. 古いIDのIIJ IDユーザを削除待ちに変更
  2. 新しいIDのIIJ IDユーザを作成

IIJ IDユーザのIDは、変更することはできません。そのためDirectory SyncによってIIJ IDユーザの削除と新規作成が行われます。

【参考】

削除待ちにされた古いIDのユーザと新規作成される新しいIDのユーザの「外部ID」が重複する場合は、新しいIDのユーザの作成が失敗します。この場合は、古いIDのユーザを完全に削除する必要があります。

各サービスへの影響
IIJ IDサービス
  • IIJ IDユーザが新たに作成されます
    古いIDのユーザは削除待ちとなり、新しいIDのユーザが作成されます。また、新しいユーザには、ログイン履歴などの情報は引き継がれません
Office 365(フェデレーション)
  • Office 365とフェデレーション(認証連携)を行っている場合は、新しいIDのユーザとしてOffice 365にログインされます
    IIJ IDから発行される認証情報(SAMLアサーション)に記載されるIDが新しいユーザの値となるためです
Office 365(プロビジョニング)
  • Office 365へプロビジョニング(ID連携)を行っている場合は、IIJ IDユーザの外部IDが変更されるかどうかにより影響が異なります
【参考】

IIJ IDユーザの外部IDは、Azure AD(Office 365)ユーザの「ImmutableId」に関連付けられています。

「ImmutableId」はIIJ IDサービスとAzure AD間でのユーザの関連付けに利用するため、変更した場合は異なるユーザとして扱われます。

【参考】

2020年02月28日時点での挙動となります。

Office 365及びAzure ADの仕様変更などにより、挙動が変更になる場合があります。

  • 外部IDが変更される
    • Office 365ユーザが再作成されます
      古いIDのユーザは、デプロビジョニングによってライセンスが剥奪され、ブロック状態となります
  • 外部IDが変更されない
    • Office 365ユーザは、そのまま引き継がれます
      Office 365ユーザのuserPrincipalNameは、IIJ IDユーザの新しいIDに変更されます
その他サービスとの認証連携
  • サービス側の仕様によって異なりますが、通常は別のユーザとして扱われます
    IIJ IDサービスで発行されるSAMLやOpenID Connectの認証情報(SAMLアサーション、IDトークン)のID情報が、新しいIDのユーザに変更されます
その他のサービスとのID連携
  • サービスの仕様によって異なります