![見出し画像](https://assets.st-note.com/production/uploads/images/99799593/rectangle_large_type_2_8e7362d18668ec47d97aee2826fa6e50.png?width=800)
【備忘】Cloud Identity(Idp)とO365・AzureAD(SP)連携検証③
【備忘】Cloud Identity(Idp)とO365・AzureAD(SP)連携検証②の続きです。今回はプロビジョニングを試します。
(再掲)今回やりたいこと
今回は、最終的にはCloud Identity(Idp)とO365(SP)を連携する検証を個人の勉強として行いたいです。
組織のGCPやAzureADには触れずに設定の検証を行いたいため、自前のGCP・Azureのお勉強環境を利用し、できるところまでやってみます。(そしてお金はかけたくない)
この投稿はその作業履歴・備忘です。
イメージはこちら👇
画像はリファレンスアーキテクチャより一部引用しています。
![](https://assets.st-note.com/img/1678282433519-4aUeMhEjvo.png)
前回までで、SAML連携を利用したO365利用時のCloudIdentity認証を試しました。今回は「手順 7: 自動プロビジョニングを設定する」が無料お試し枠内でできるかどうか試します。
流れは、以下の通りです。
手順 1: ImmutableID を設定する
手順 2: Google ID プロバイダ(IdP)の情報を入手する
手順 3: Office 365 を SAML 2.0 のサービス プロバイダ(SP)として設定する
手順 4: Google を SAML ID プロバイダ(IdP)として設定する
手順 5: Office 365 アプリケーションを有効にする
手順 6: Google と Office 365 間の SSO の動作を確認する
ーーーー(今回投稿ここから👇)ーーーーーーーーーーーー
手順 7: 自動プロビジョニングを設定する
事前準備
自動プロビジョニングに必要なライセンスの環境を整えます。
こちらのライセンス比較のページを見ると、「Business Starter」で自動プロビジョニングができそうです
![](https://assets.st-note.com/img/1678282659496-tcQAHMIcMm.png?width=800)
こちらの管理コンソールの「お支払い」>「その他のサービスの使用」から「無料試用を開始」をぽちっと
![](https://assets.st-note.com/img/1678282761119-rCAZ19rs6Y.png?width=800)
![](https://assets.st-note.com/img/1678282865116-ehFSeURBV6.png?width=800)
![](https://assets.st-note.com/img/1678282903839-dxHw4h0lXJ.png?width=800)
![](https://assets.st-note.com/img/1678282946025-Hq1TxIbPsU.png?width=800)
無料試用版の購入が完了しました。
![](https://assets.st-note.com/img/1678282981291-QjSuIHMdcV.png)
「サブスクリプション」画面でも、「Google Workspace Business Starter」が表示されています
![](https://assets.st-note.com/img/1678283017869-HccNn7lqQY.png?width=800)
手順 7: 自動プロビジョニングを設定する
本題の自動プロビジョニング手順に戻ります
アプリ>ウェブアプリとモバイルアプリ>Microsoft Office 365
の画面にもどると、自動プロビジョニングが設定できそうになっています。
![](https://assets.st-note.com/img/1678283232423-e2YN8Kz7aO.png)
![](https://assets.st-note.com/img/1678283333737-PXOBLJ3UZ3.png?width=800)
[承認] をクリックする前に Office 365 の管理者アカウントでログインしていない場合は、同じタブで Office 365 アプリケーションが開き、ログインを求められます。
SAML連携したO365テナントの管理アカウントでログイン
![](https://assets.st-note.com/img/1678283410575-xGy7oE2PQT.png)
管理者の同意画面が表示される
![](https://assets.st-note.com/img/1678283518419-ogtcSLkiJ2.png)
次にGoogle側の認証画面に遷移します。一番下の管理権限のユーザーで続行
![](https://assets.st-note.com/img/1678283645240-UF1VC2H13b.png)
Microsoft Office 365 のすべての必須属性(* が付いているもの)が Google Cloud Directory の属性にマッピングされていることを確認します。マッピングされていない場合は、下矢印アイコン をクリックして、適切な属性にマッピングします。
とのことなので、値を設定します。
一部選択されていない項目があったため、以下の通り設定して続行します。
![](https://assets.st-note.com/img/1678283965662-vdcWBN4QLq.png?width=800)
![](https://assets.st-note.com/img/1678283991846-8mwSorwECQ.png?width=800)
グループの指定ができるようなので、グループを作り、同期対象に設定してみます。
![](https://assets.st-note.com/img/1678284557673-Kh6H6vHa7f.png?width=800)
プロビジョニング解除の設定。実際の運用となるときちんと設計が必要な箇所になりそうですが、今回は動作検証のためいったんデフォルトで「完了」
![](https://assets.st-note.com/img/1678284656604-SdAJZmDoje.png?width=800)
「自動プロビジョニング」がオンにできそう
![](https://assets.st-note.com/img/1678284927916-jKubA95Gk1.png?width=800)
こんな注意喚起文言が・・
![](https://assets.st-note.com/img/1678285009947-pS2KOGRUs9.png)
オンになりました。
![](https://assets.st-note.com/img/1678285477380-1vwZfbideT.png?width=800)
ログを見ると、同期用グループに含まれるユーザーが同期され、含まれないユーザー(前回手動で連携させたユーザー)が停止されていることがわかります。
![](https://assets.st-note.com/img/1678285700594-hzhfTS2Mo5.png?width=800)
なるほど。
![](https://assets.st-note.com/img/1678285920476-CYm9PnKwn8.png?width=800)
![](https://assets.st-note.com/img/1678285963918-drqpk3cyLw.png?width=800)
O365・AzureAD側を見ると設定されたとおりに同期されています。ぱちぱち。
![](https://assets.st-note.com/img/1678286085300-Q3RhKGobYd.png?width=800)
最後に
無料枠内で、CloudIdentity(GWS)→AzureAD(O365)のプロビジョニングが確認できました。
もちろんプロビジョニングされたアカウントでO365にログインできました。
イメージでは理解していたプロビジョニングを実装することで、連携までの流れや実際の挙動を確認でき、理解が深まりました。
![](https://assets.st-note.com/img/1678286495298-KzfFXux4iH.png?width=800)
多少試行錯誤した箇所がありましたが、本内容が、どなたかのお役に立つと嬉しいです。
この記事が気に入ったらサポートをしてみませんか?