![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/19ae8be4.e750202b.19ae8be5.ab17822b/?me_id=1213310&item_id=21138115&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbook%2Fcabinet%2F0366%2F9784296080366_1_2.jpg%3F_ex%3D300x300&s=300x300&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
目次
概要
EntraConnectとEntraクラウド同期についてChatGPTに聞いてみました。
EntraIDへのユーザ認証方法の違い
各認証方式の違いについてChatGPTに聞いてみました。
Entra IDがもつ"ImmutableId"を起点としたハードマッチ構成
そもそもImmutableIdとは、Entra IDと別の認証システムとの間でオブジェクトを一意に紐づけるために使用される。(Entra Connectやフェデレーションなどで使用される)
- Entra Connectにおいて、ImmutableIdを基準にユーザオブジェクトを直接的に紐づける方法をハードマッチと呼ぶ
- ImmutableIdをもつEntra IDオブジェクトに対して Entra Connectを構成する場合、ImmutableIdをADオブジェクトの属性に登録する必要がある
Entra Connectに関連する用語や属性値
- ImmutableId
Entra Connectやフェデレーションなど、Entra IDと別の認証システムとの間でオブジェクトを一意に紐づけるための属性。Entra Connectにおいては別名「SourceAnchor (ソースアンカー)」とも呼ばれる
- ハードマッチ
Entra Connectにおいて、ImmutableId を用いてアカウントを直接的に同期させるマッチング方法
- ソフトマッチ
Entra Connectにおいて、UPNやメールアドレスを用いてアカウントを同期させるマッチング方法
AD 属性値
ADの主要な属性値は以下のようなものになります。
属性値 | 用途 | 備考 |
|---|---|---|
| SMTPアドレス | プライマリアドレス | |
| proxyAddresses | SMTPやSIPなどのアドレス | 複数アドレスを設定可能 |
| sAMAccountName | ユーザログオン名 | - |
| userPrincipalName (UPN) | ドメインを付与したユーザサインイン名 | <sAMAccountName>@ドメイン名 形式 |
| mS-DS-ConsistencyGuid | ImmutableIdの値を登録する | ユーザオブジェクトのImmutableId既定値 |
| objectGUID | オブジェクト作成時に設定される一意識別子 | - |
Entra ID 属性
Entra IDの主要な属性値は以下のようなものになります。
| 属性値 | 用途 | 備考 |
|---|---|---|
| OnPremisesImmutableId | ImmutableIdの値が格納される属性 | |
| UserPrincipalName (UPN) | ユーザサインイン名 |
アカウントのマッチング方法
- ImmutableIdの値で一致するオブジェクトがあるか(ハードマッチ)
- proxyAddressesやmail属性で一致するオブジェクトがあるか(SMTPソフトマッチ)
- UPNで一致するオブジェクトがあるか(UPNソフトマッチ)
- 上記以外(→新規オブジェクトの作成)
注意点として、ImmutableIdを持つEntra IDオブジェクトにはソフトマッチの評価が行われません。
基本的にEntra IDオブジェクトはImmutableIdを持ちませんが、Entra IDがフェデレーションを構成している(していた)場合は ImmutableIdを持ちます。
このような状況下でEntra Connectを構成するためには、ImmutableIdの値をADに登録しハードマッチを行う必要があります。