オンプレミスユーザ名とMicrosoft 365ユーザ名が同一ではない情報を同期させ、Windows端末のドメインユーザサインインのみでMicrosoft 365サービスが利用できるシングルサインオン環境を実装する。
- インフラ構築
- Microsoft Azure
- Entra ID
インフラ基盤更新【金融業/クレジットカード】
システム概要
インフラ基盤更改
弊社は認証基盤のADサーバ、Azure AD(Entra ID)を担当。
導入期間
12ヶ月
課題と効果
- 課題
- オンプレミスとAzure同期の対応実績者がプロジェクト内に存在しないため、実証確認から対応を行う必要があった
- 効果
- オンプレミスドメインユーザでWindows端末にサインインのみでMicrosoft 365のサービスを利用可能とするシングルサインオンを実装し、ユーザサインイン負荷を軽減した
- 課題
- ADサーバは更改前資料が最新化されているかが誰も分からない状態となっていた。
実機調査が必要であった - 効果
- エンドユーザの運用中本番ADサーバに入り、更新箇所を確認するこで、更改ADサーバで必要な要素を洗い出して手戻りすることがない設計書を作成することが出来た
- 課題
- Azure環境の知識が少ない対応であったため、実働確認までに時間がかかった
- 効果
- プロジェクトチーム内のAzure有識者とMicrosoftサポートと連携し、ヒントを得て最小時間で実働確認が実施出来た
目的
ポイント
エンドユーザ様のITインフラ環境をすべて更改する案件の中で、従業員が利用するユーザID、Windows端末やサーバを管理する認証基盤を担当しました。
認証基盤ではオンプレミスのADサーバとAzure AD(Entra ID)が存在し、その両方を同期(移行)し、シングルサインオンの仕組みを実装することが目的です。
オンプレミスユーザ名とMicrosoft 365ユーザ名が異なるメールアドレスを利用しており、そのユーザ情報を同期させる必要がありました。
その対応を行うため、自身も含めたプロジェクトチームメンバーに対応した前例が無かったので調査、検証、実証確認で以下の課題がありました。
・オンプレミスとクラウドの異なるユーザ情報の同期方式の確立と、その実証確認を求められる
・数千ユーザを対象にした本番環境への移行方法の確立
・事前調査作業のタスクが詳細に計画されていない
【同期方式の確立と、その実証確認】
Microsoft Azureサポートへ問い合わせ、過去事例が存在するのかの調査を経てAzure検証環境にていくつものシナリオを検証し、動作実証の確認をすることができました。
ADサーバのユーザ属性情報とAzure AD(Entra ID)のユーザ属性情報がどのように同期されているのかを理解整理し、その双方が正しく同期されているかを確認する必要がありました。
【本番環境への移行】
本番環境への移行は数千ユーザを対象に行うため、日をずらした10回の段階的移行としました。
しかし、日々の運用の中でユーザの登録、更新、削除が頻繁に行われており、前回移行した内容と現時点の内容が異なる問題が発生しました。
その対策として、各移行作業の冒頭で対象ユーザの比較と差分対応を実施しました。
長時間停止することができない移行であったため、移行前に差分認識と対応を行い停止することなく移行を実施しました。
本プロジェクトは事前の調査作業のタスクを詳細に分割し計画していなかったという問題があり、本来進めるべき上流工程の設計書作成と並行して対応する必要がありました。
調査内容を事前に洗い出し、調査内容を役割分担することで、対応時間を短縮することができました。
また、情報共有を密にとることで、類似の事象について重複した調査作業にならないよう対応することでプロジェクト全体の推進に貢献することができました。
構築、移行、テストについては、計画段階でどれだけ問題を解消することができるかを実践したことにより、問題なく進行することができました。
本プロジェクトを通して前例が無くともチームで協力して進めることで限られた時間の中で完了することが可能であることを体現することが出来ました。
OS:Windows Server 2019
DB:SQL Server
ミドルウェア:AzureAD Connect(Microsoft Entra Connect)、Active Directory
IaaS:Azure
SaaS:Intune、Azure Backup、Azure AD(Entra ID)
参加フェーズ:要件定義、基本設計、詳細設計、構築/テスト、本番移行
事例管理№:20230003