Directory SyncでIIJ IDユーザのIDを変更したときの影響を知りたい
Directory SyncにてActive DirectoryからIIJ IDサービスにユーザを同期している場合、そのユーザのIDに関連付けされたActive Directoryの属性値を変更したときのDirectory Syncの挙動と、各サービスへの影響は以下のとおりです。
Directory Syncの挙動
IIJ IDユーザのIDに関連付けされたActive Directoryの属性値を変更したとき、Directory Syncでは次の処理が行われます。
- 古いIDのIIJ IDユーザを削除待ちに変更
- 新しいIDのIIJ IDユーザを作成
IIJ IDユーザのIDは、変更することはできません。そのためDirectory SyncによってIIJ IDユーザの削除と新規作成が行われます。
【参考】
削除待ちにされた古いIDのユーザと新規作成される新しいIDのユーザの「外部ID」が重複する場合は、新しいIDのユーザの作成が失敗します。この場合は、古いIDのユーザを完全に削除する必要があります。
各サービスへの影響
IIJ IDサービス
- IIJ IDユーザが新たに作成されます
古いIDのユーザは削除待ちとなり、新しいIDのユーザが作成されます。また、新しいユーザには、ログイン履歴などの情報は引き継がれません
Microsoft 365(フェデレーション)
- Microsoft 365とフェデレーション(認証連携)を行っている場合は、新しいIDのユーザとしてMicrosoft 365にログインされます
IIJ IDから発行される認証情報(SAMLアサーション)に記載されるIDが新しいユーザの値となるためです
Microsoft 365(プロビジョニング)
- Microsoft 365へプロビジョニング(ID連携)を行っている場合は、IIJ IDユーザの外部IDが変更されるかどうかにより影響が異なります
【参考】
IIJ IDユーザの外部IDは、Azure AD(Microsoft 365)ユーザの「ImmutableId」に関連付けられています。
「ImmutableId」はIIJ IDサービスとAzure AD間でのユーザの関連付けに利用するため、変更した場合は異なるユーザとして扱われます。
【参考】
2020年02月28日時点での挙動となります。
Microsoft 365及びAzure ADの仕様変更などにより、挙動が変更になる場合があります。
- 外部IDが変更される
- Microsoft 365ユーザが再作成されます
古いIDのユーザは、デプロビジョニングによってライセンスが剥奪され、ブロック状態となります
- Microsoft 365ユーザが再作成されます
- 外部IDが変更されない
- Microsoft 365ユーザは、そのまま引き継がれます
Microsoft 365ユーザのuserPrincipalNameは、IIJ IDユーザの新しいIDに変更されます
- Microsoft 365ユーザは、そのまま引き継がれます
その他サービスとの認証連携
- サービス側の仕様によって異なりますが、通常は別のユーザとして扱われます
IIJ IDサービスで発行されるSAMLやOpenID Connectの認証情報(SAMLアサーション、IDトークン)のID情報が、新しいIDのユーザに変更されます
その他のサービスとのID連携
- サービスの仕様によって異なります