Microsoft 365 Federation ImmutableID

Microsoft365ユーザが持つ「ImmutableID」にまつわる話です。「ImmutableID」とは、ユーザのフェデレーションIDであり、UPNとは違く、フェデレーションユーザを表す一意性のあるIDとなります。

ユーザには意識することがないですが、フェデレーションが有効となるMicrosoft365環境(ドメイン)には不可欠な属性となります。powershellやAzure AD Connect、或は、弊社ID管理機能ありの製品（SeciossLink／SIME）含むID同期ツールを利用することで、Microsoft365側のユーザにImmutableIDを作成することは可能です。

現状、Microsoft365の管理コンソールからユーザを作成する場合、ImmutableIDの作成はできないようです。そのため、ドメインをフェデレーション構成した後、ユーザのImmutableIDが正しく作成されない限り、ログインができなくなります。

フェデレーション構成されたMicrosoft365環境では、ImmutableIDは必須情報のため、認証情報を提供するIdPにはImmutableIDとしての情報を保持する必要があります。

認証リクエストの中でImmutableIDとUPNの提示がMicrosoft365側に要求されます。

IdP側はユーザUPN及び保持されたImmutableID情報をユーザのブラウザ経由でMicrosoft365に送信し、内容が正しければ、ユーザはMicrosoft365にログインできるようになります。

MS社の同期ツールAzure AD Connectを利用する場合、Microsoft365へ該当ユーザを作成する際に、ドメイン参加されているActive Directoryから、(標準設定では)ユーザのGUID情報を取得し、該当ユーザのImmutableIDが作成されます。しかし、この情報をIdP側に投入するためには、AD或はMicrosoft365からImmutableIDを抽出する必要があります。

では、弊社ID同期機能を持たない、シングルサインオン製品Secioss Access Manager Enterprise (SAME)  のみ利用する場合、どうような利用構成になるでしょうか？