今回は小ネタです。しかも事象からの推測ですのでタダの都市伝説かもしれません。
ご存知のとおり、Azure Active Directory(Azure AD)が持つアプリケーション連携の機能には「シングルサインオン」と「プロビジョニング(ID同期)」の2つがあります。
で、今回はプロビジョニングに関する小ネタです。
※プロビジョニングの細かい設定方法は以下の動画をどうぞ。(IdM実験室別館より)
https://channel9.msdn.com/Blogs/IdM-Lab-Annex-MVP-for-Directory-Services-Naohiro-Fujie/AAD-Setup-App-3
Google Appsへユーザを新規にプロビジョニングした場合、作成されたユーザのステータスが「無効」になっている場合と「アクティブ」になっている場合があります。
<そもそものGoogle Appsの仕様は?>
Google Admin SDK Directory APIの仕様を見ると、新規に作成されたユーザはサスペンドされ(suspendedにtrueがセットされ)、サスペンド理由(suspensionReason)にWEB_LOGIN_REQUIREDがセットされ、初回ログイン時にアクティベートされる、と書いてあります。https://developers.google.com/admin-sdk/directory/v1/reference/users
抜粋)
A new account is automatically suspended by Google until the initial administrator login which activates the account. After the account is activated, the account is no longer suspended
しかし、先に書いた通りAzure ADからユーザをプロビジョニングすると最初からsuspendedがfalseのユーザ(アクティブ)ができる場合と、仕様通りtrueのユーザ(無効)の両パターンができる場合があります。
<Google Apps上のユーザの状態>
<有効なユーザ>
Directory APIでGoogle Appsを直接見ると、suspendedがfalseになっています。
この状態でログインすると、規約への同意をすればすぐにサービスが使えます。
<無効なユーザ>
同様にAPIを直接たたくとsuspendedがtrue、suspensionReasonがWEB_LOGIN_REQUIREDとなっています。APIドキュメント通りです。
この状態だと、ログイン時に本人確認が走ります。
<Azure AD上でのアカウント状態の違い>
何が違うのか?を追うためにAzure AD上でのユーザの違いを眺めると、、、
最初からアクティブになるユーザ:オンプレミスのADから同期されてきたユーザ
無効となるユーザ:Azure AD上に直接作ったユーザ
という違いがありました。
本当にこれが原因なのかどうかはよくわかりませんが、少なくとも私のテナントではこの部分しかアカウントの違いがなく、何ユーザ試してみてもこの動きになったので、何か関係しているのかもしれません。
マイクロソフトやGoogleに確認した訳ではないので、厳密には良くわかりませんが。。。
投稿
0 件のコメント:
コメントを投稿