フォーム読み込み中
突然ですが、現行のSSOから他のSSOへの切替を検討されることがありますでしょうか?
本番環境のクラウドサービス(GWS、Azure)で一部のユーザーのみその別のSSOによる認証を実現したい場合は、どのように実現できますか?他への影響がありますか?という問題意識を抱える方に向けて、GWSアカウントを持つユーザーがルート組織に3rd SSOとして割り当てられたCloudGateをAzureADに変更する方法と提案を紹介したいと考えて、この記事を作成しました。
はじめに
基本的な実施方法は下記のとおりです。
ルート組織SSOに対しては、組織・グループ単位向けの3rdSSOを設定することで、
1、組織全体がルート組織SSOに割り当てられたもとに、下位組織の1つに対して別のSSOプロファイルを割り当てることができます。
2、組織全体がルート組織SSOに割り当てられたもとに、1つのグループに対して別のSSOプロファイルを割り当てることができます。
では、実際に上記の設定によって双方のSSO認証が問題なく通る方法を知りたくはありませんか?
そこで、GWS、Azure、Cloudgate UNOを例として設定方法と操作手順の続編として、こちら提案の3rd SSO設定の検証結果を提示してみたいと考え、本記事を作成しました。
まずは、本記事に登場する検証アカウント、組織、検証手順についてご紹介いたします。
合計4つのアカウントを利用して本検証を行いました。
SSO切替の際に既存の組織に対して、移行用の新規組織を作成しました。
全体的な切替操作は4つの段階に分けて検証を進めてきました。
各段階においてルート組織、サブ組織、グループのステータスについて下記のテーブルに表示されました。
もっと分かりやすく理解するため、下記の構成グラフを作成してみました。
下記の移行手順はあくまで3rdのSSO切替の実施方法の1つに過ぎないため、本記事のSSO切り替え手順を参考頂き御社の事業にお役に立てれば幸いです。
各段階において各組織とグループに割り当てたSSO、組織の配下にあるユーザーなどの情報が一目瞭然になります。
ーPhase1(現状)
既存のステータスはルート組織に割り当てたCloudgate SSOが組織前全部のアカウントログインを管理しています。
ーPhase2
(1)ルート組織の直下に管理しているssotest user04 を臨時に作成のReplace domainに一時的に移動し、Replace domainにAzureADで連携します。
(2)「softbank_unitalk」に対する組織SSO管理をオフにし、配下のssotest user03を新しく作成したサブ組織migrate_ssotestに移動し、AzureAD SSOで紐付けます。
(3)ssogroup_test に3rdの AzureAD SSOで紐付けます。
ーPhase3
(1)ルート組織の「dev.ep-cloud.jp」のSSOプロファイルをオフにします。
(2)各サブ組織を別々にAzureAD SSOで紐付けます。
結果、組織全体はAzureAD SSO経由でログインすることができるようになります。
ーPhase4(追加オプション)
(1)ルート組織の「dev.ep-cloud.jp」をAzureADで紐づけます。
(2)Replace domainにおけるssotest user04をルート組織の「dev.ep-cloud.jp」に戻し、「migrate_ssotest」と「ssogroup_test」の3rd SSOをオフにする)
結果、全組織のSSO管理は無事cloudgateからAzureADに変更することになります。
上記の移行提案を問題なく実現できるかどうかを確認するため、下記の検証プロセスを一緒に確認してみましょうか~
※注意:Phaseのステップを進めていくうえでの前提条件として、組織からの継承よりもサブ組織やグループの設定が優先されます。
検証プロセス
Phase1
検証1-1 ssotest user04 はCloudgate sso経由でログインできること
操作手順:
① ルート組織直下にssotest user04が存在することを確認します。
② ルート組織の下に既存のsoftbank_unitalkサブ組織が存在することを確認します。
③ ssotest-user04のGoogleアカウントにログインします。
④ アカウントに入力すると、CloudGate SSOのログイン画面に飛ばされるので、ssotest-user04と連携しているユーザーID(maz84sso)を代わりに入力します。
⑤ user04のログイン成功を確認できます。
検証1-2 adsso user01 はCloudgate sso経由でログインできること
① サブ組織softbank_unitalkの下にadsso user01が存在することを確認します。
② adsso-user01のGoogleアカウントにログインします。
③ アカウントに入力すると、CloudGate SSOのログイン画面に飛ばされるので、adsso-user01と連携しているユーザーID(maz83sso)を代わりに入力します。
④ ado user01がログイン成功を確認できます。
検証1-3 グループ配下のアカウントはCloudgate sso経由でログインできること
① グループsso_group_testの下にuser01とuser02が存在することを確認します。
② ssotest-user02のGoogleアカウントにログインします。
③ アカウントに入力すると、CloudGate SSOのログイン画面に飛ばされるので、ssotest-user02と連携しているユーザーID(maz82sso)を代わりに入力します。
④ ssotest-user01がログイン成功を確認できます。
Phase2
検証2-1ルート組織下のuserをReplace domainに移動してAzureADでログインできること
ルート組織「dev.ep-cloud.jp」直下のユーザー(user04)を臨時のサブドメイン「Replace domain」に移動させ、3rd SSOのAzureADをつけた後ログインができます。
① ルート組織dev.ep-cloud.jpの下にReplace_domainを作成し、ssotest user04が中に存在します。
② GWSコンソールの「SSOプロファイルの割り当ての管理」の Replace_domainにAzureAD_SSOで紐付けます。
③ アカウントに入力すると、AzureAD SSOのログイン画面に飛ばされるので、ssotest-user04のメールアドレスを入力すると、ログインができます。
④ ssotest-user04が成功にログインすることを確認します。
検証2-2サブ組織配下のuser03をmigrate_ssotestに移動してAzureADでログインできること
サブ組織softbank_unitalk配下のuser03を新しく作成したmigrate_ssotestに移動させ、3rd SSOのAzureADで紐づけます。
① 元々サブ組織softbank_unitalkの下にadsso user01が存在することを確認します。
② 元々新しく作成したサブ組織migrate_ssotestの下に何のアカウントも存在しないことを確認します。
③ adsso_user01をサブ組織softbank_unitalkからmigrate_ssotestに移動します。
④ migrate_ssotestにssotest user03が存在することを確認します。
サブ組織softbank_unitalk配下のuser03を新しく作成したmigrate_ssotestに移動させ、3rd SSOのAzureADをつけます。
① GWSコンソールの「ssoプロファイルの割り当ての管理」に3rdのSSOであるAzureADをmigrate_ssotestに紐付けます。
② AzureADをmigrate_ssotestに紐付けてから、migrate_ssotest配下のaadsso-user01でログインしてみます。
③ アカウントに入力すると、CloudGate SSOではなく、AzureADのログイン画面に飛ばされるので、adsso-user01@dev.ep-cloud.jpでログインします。
④ adsso-user01@dev.ep-cloud.jpがログイン成功を確認できます。
検証2-3 グループssogroup_testに3rd SSOのAzureADをつけてログインできること①
① グループSSO_group_testを選択します。
② グループSSO_group_testを「別のSSOプロファイル」である「AzureAD_SSO-SAML」にオーバーライドします。
ssotest-user01がAzureAD SSO経由でログインできることを確認します。
検証2-3 グループssogroup_testに3rd SSOのAzureADをつけてログインできること②
※ssogroup_testというグループ内で2つの検証ユーザーがあるため、検証2-3 は2人目のユーザーがAzureADをつけてログインできるかを確認します。
上記の操作手順によって、Phase2は完了となります。
Phase3
検証3-1 Replace domainにあるユーザーはAzureADでログインできること
Replace_domainに対し、SSOプロファイルの割り当ての管理にて、事前に作成したAzure_SSO_SAMLで紐つけます。
Replace_domainにssotest user04が存在することを確認しました。
上記の操作を行うことで【検証3-1】ログインが成功しました。
検証3-2 Migrate_ssotestにあるユーザーが3rd SSOのAzureADでログインできること
migrate_ssotestにssotest_user03が存在することを確認しました。
ssotest user03がAzureADSSO経由でログインするプロセスをこちらをご確認ください。
検証3-3 ssogroup_testにあるユーザーがAzureADでログインできること
① グループSSO_group_testを選択します。
② グループSSO_group_testを「別のSSOプロファイル」である「AzureAD_SSO-SAML」にオーバーライドします。
ssogroup_testの2つのアカウントがAzureADSSO経由でログインするプロセスをこちらをご確認ください。
Phase4
検証4-1 dev.ep-cloud.jpにあるユーザーがAzureADでログインできること
① 組織向けの3rdのSSOプロファイル(CloudGate)をオフにした後、AzureAD SSOへ変更しました。
② ssotest user04をサブ組織Replace_domianからdev.ep-cloud.jpへと移動しました。
上記の操作を行うことで【検証4-1】ログインが成功しました。
検証4-2 Migrate_ssotest配下のユーザーが組織向けの3rdのSSOでログインできること
① migrate_ssotestを「組織向けの3rdのSSOプロファイル」で紐付けます。
② migrate_ssotestにssotest user03が存在することを確認します。
上記の操作を行うことで【検証4-2】ログインが成功しました。
検証4-3 ssogroup_test配下のユーザーが組織向けの3rdのSSOでログインできること
グループSSO_group_testを「組織向けの3rdのSSOプロファイル」で紐付けます。
上記の操作を行うことで【検証4-3】ログインが成功しました。
まとめ
・検証の際に、AzureADもCloudgateも事前にGWSと連携するアカウントを作成し、Google Workspaceのサービスを有効にする必要があります。ただし、実際の大人数の移行の場合に、オンプレやクラウド上のアカウントをAzureADやCloudgateに一括追加、或いは同期することができます。
・サブ組織に割り当てられた3rd SSOプロファイルを変更すると、そのサブ組織下のユーザーが直ちに(1minをかけず)指定の3rd SSOでのログインに切り替えたことを確認しました。ただし、実際移行の際に組織下の人数が多くなると、反映時間がもっとかかるかどうかについて更に検証する必要があります。
・Phase3まで実施すると、全組織のユーザーのログインが無事にCloudgateからAzureADに移行できます。ただし、それは各サブOUを AzureAD SSOに直接割り当てた安全的な移行結果です。
・もしPhase4を実施すると、直接ルート組織にAzureAD SSOで割り当てると、理論上で組織全体のSSOログインは移行できるはずですが、組織全体一時的にログインできなくなるリスクが存在するため、Phase3までの操作を勧め、良いタイミングにまたPhase4の実施を検討してもよいと考えます。
・検証後の所感として、各サブ組織のSSO移行完了後、またルート組織のSSOプロファイルをAzureADに変更し、サブ組織に割り当てられたAzureAD SSOプロファイルを1個ずつオフにし、ルート組織のSSOプロファイルはうまく機能すると考えます。或いは、組織向けのSSOをやめて、サブ組織にAzureAD SSOプロファイルを直接的に割り当てたほうが楽かもしれません。
本記事の検証内容をご覧頂くことによって、SSO利用或は変更を検討されているお客様にお役に立つことができれば光栄です。
\ 業務課題をデジタルで支援 /
デジタルツールの選定から導入の手引きまで、中小規模のお客さまへわかりやすくお伝えします。
メールマガジン登録(無料)
ビジネスに役立つ記事やウェビナー情報をお届けします。
おすすめの記事
条件に該当するページがございません
