SIOS Tech. LabSIOS Tech. Lab | エンジニアのタメになるOSS・クラウド・認証の技術トピックス
新着記事

Azure AD Connectのソースアンカー属性について

2020-10-20 Azure, Tips, クラウド, 認証 0
◆ Live配信スケジュール ◆
サイオステクノロジーでは、Microsoft MVPの武井による「わかりみの深いシリーズ」など、定期的なLive配信を行っています。
⇒ 詳細スケジュールはこちらから
⇒ 見逃してしまった方はYoutubeチャンネルをご覧ください
【5/21開催】Azure OpenAI ServiceによるRAG実装ガイドを公開しました
生成AIを活用したユースケースで最も一番熱いと言われているRAGの実装ガイドを公開しました。そのガイドの紹介をおこなうイベントです!!
https://tech-lab.connpass.com/event/315703/

こんにちは。サイオステクノロジーの小川です。

今回はAzure AD Connect(AADC)のソースアンカー属性に関するTipsを記載します。

Office365をSPとして、オンプレのIdPに認証を連携する際、Azure ADのアカウント属性のImmutable IDの値をIdP側に持っておく必要があります。ADからAzure ADへAADCを利用する際のソースアンカーの値がImmutable IDに連携されます。しかし、推奨設定ではmS-DS-ConsystencyGuidがソースアンカーとなっており、AADCで連携する際ADのmS-DS-ConsystencyGuidの値がBase64エンコードされて連携されてしまいます。

これではIdPで持っているImmutable IDの値とAzure ADのImmutable IDの値に差異が生まれ、認証ができなくなってしまいます。これを回避するために連携するADの属性に注意する必要があります。

構成

検証した構成は以下になります。

Azure AD Connectの動作

ソースアンカー属性の値はグローバルに一意である必要があり、特殊文字が含まれていないことなど、いくつか条件があります。

ソースアンカーがBinary属性の場合、ADからのインポート時に値がBase64エンコードされ、Azure ADへアカウントのエクスポート処理が実行されます。mS-DS-ConsystencyGuidはBinary属性になります。なぜBinary属性はBase64エンコードして連携されるかというと、Binary属性値をBase64エンコードすることで特殊文字が表示されないようにすることができるためにこのような動作になっています。

String属性ではBinary属性のようにBase64エンコードされません。なので、上記の制約を満たすようにADのソースアンカー属性とするString属性に値を設定します。ADからAzure ADへアカウント連携時にImmutable IDの属性値がADのソースアンカーに指定した属性値で連携することができます。

これでAD、Azure AD、認証プロバイダーでAzure ADのImmutable IDの値が一致するので、問題なくIdPで認証することが可能になります。

アバター画像
About 小川雄大 27 Articles
IDaaSプロジェクトを担当。
Twitter YouTube
ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

0人がこの投稿は役に立ったと言っています。


ご覧いただきありがとうございます。
ブログの最新情報はSNSでも発信しております。
ぜひTwitterのフォロー&Facebookページにいいねをお願い致します!


SIOS Tech Lab

>> 雑誌等の執筆依頼を受付しております。
   ご希望の方はお気軽にお問い合わせください!

Be the first to comment

Leave a Reply

Your email address will not be published.


*


Copyright © 2024 | MH Magazine WordPress Theme by MH Themes

質問はこちら 閉じる