Microsoft365ユーザが持つ「ImmutableID」にまつわる話です。「ImmutableID」とは、ユーザのフェデレーションIDであり、UPNとは違く、フェデレーションユーザを表す一意性のあるIDとなります。
ユーザには意識することがないですが、フェデレーションが有効となるMicrosoft365環境(ドメイン)には不可欠な属性となります。powershellやAzure AD Connect、或は、弊社ID管理機能ありの製品(SeciossLink/SIME)含むID同期ツールを利用することで、Microsoft365側のユーザにImmutableIDを作成することは可能です。
現状、Microsoft365の管理コンソールからユーザを作成する場合、ImmutableIDの作成はできないようです。そのため、ドメインをフェデレーション構成した後、ユーザのImmutableIDが正しく作成されない限り、ログインができなくなります。
フェデレーション構成されたMicrosoft365環境では、ImmutableIDは必須情報のため、認証情報を提供するIdPにはImmutableIDとしての情報を保持する必要があります。
認証リクエストの中でImmutableIDとUPNの提示がMicrosoft365側に要求されます。
IdP側はユーザUPN及び保持されたImmutableID情報をユーザのブラウザ経由でMicrosoft365に送信し、内容が正しければ、ユーザはMicrosoft365にログインできるようになります。
MS社の同期ツールAzure AD Connectを利用する場合、Microsoft365へ該当ユーザを作成する際に、ドメイン参加されているActive Directoryから、(標準設定では)ユーザのGUID情報を取得し、該当ユーザのImmutableIDが作成されます。しかし、この情報をIdP側に投入するためには、AD或はMicrosoft365からImmutableIDを抽出する必要があります。
では、弊社ID同期機能を持たない、シングルサインオン製品Secioss Access Manager Enterprise (SAME) のみ利用する場合、どうような利用構成になるでしょうか?