5.9. Azure Active Directory (Microsoft 365) バックエンド¶

5.9.1. 概要¶

unicornidm.conf, templates/<backendname>.py

5.9.2. 説明¶

バックエンドセクションのうち、 type が azure となっているバックエンドは、 Azure Active Directory ドメインコントローラー (Azure AD) への接続に関する設定を行います。

各バックエンドには必ずテンプレートファイルを用意する必要があります。テンプレートファイルとは Unicorn ID Manager の任意属性 (フロントエンド属性) をバックエンド固有の属性 (バックエンド属性) にマッピングするためのものです。

5.9.3. リファレンス¶

5.9.3.1. unicornidm.conf のパラメーター¶

type¶: バックエンドのタイプを指定します。 azure に設定してください。

description¶: バックエンドの説明文を指定します。

バージョン 3.18.7 で追加.

domain¶: 接続する Azure AD のドメイン名を指定します。

bind_user¶: Azure AD へ接続する際に使用するクライアント ID を指定します。

bind_password_file¶: Azure AD へ接続するクライアント ID のパスワード情報を格納したファイルパスを指定します。

backend_primary_key_user¶: ユーザーを一意に特定するための Azure バックエンド属性を指定します。デフォルト値は userPrincipalName です。

backend_primary_key_group¶: グループを一意に特定するための Azure バックエンド属性を指定します。デフォルト値は displayName です。

require_immutaleId¶: ユーザー登録時に、 immutableId を登録するかどうかを指定します。デフォルト値は yes (immutableId を登録する) です。

5.9.3.2. テンプレートファイル¶

以下は、 azure バックエンドのテンプレートファイルの例です。

User = {
    "userPrincipalName": userName,
    "immutableId": default(immutableId),
    "displayName": default(displayName, "%(familyName)s %(givenName)s"),
    "surname": familyName,
    "givenName": givenName,
    "mailNickname": userName,
    "accountEnabled": default(active, True),
    "passwordProfile": {
      "password": password,
      "forceChangePasswordNextLogin": default(forceChangePasswordNextLogin, True),
    },
    "passwordPolicies": "DisablePasswordExpiration,DisableStrongPassword",
    "usageLocation": default(usageLocation, "JP"),
    "assignedLicenses": default(azureLicense),
}


Group = {
    "displayName": groupName,
    "mailNickname": groupName,
    "mailEnabled": False,
    "securityEnabled": True,
    "description": default(description),
}

注意すべき点は以下のとおりです。

User の辞書には必ず userPrincipalName バックエンド属性を付与すること
Group の辞書には必ず displayName バックエンド属性を付与すること

5.9.4. azure バックエンド特有のバックエンド属性¶

azure バックエンドで利用可能なバックエンド属性は以下の URL を参考にしてください。

https://msdn.microsoft.com/Library/Azure/Ad/Graph/api/entity-and-complex-type-reference#userentity

ここでは、上の URL に記載のない、 azure バックエンド特有のバックエンド属性の説明をします。

assignedLicenses¶

assignedLicenses バックエンド属性は、ユーザーに対して、 Microsoft Office 等の利用に必要なライセンスを付与、あるいは、すでに割り当てられているライセンスを削除するためのものです。このバックエンド属性に指定可能なものは skuPartNumber と呼ばれる属性値です。たとえば、 STANDARDPACK のような、値を指定します。ライセンスは複数付与することができますので、 unicornidm.conf の assignedLicenses に対応するフロントエンド属性を multi_valued_attributes に含めるようにしてください (デフォルトの設定ファイルでは azureLicense として含められています) 。

ここで、 azure バックエンドのライセンスについて説明します。 Azure AD では、ひとつのライセンスに複数のプランが紐付いています。たとえば、以下のように STANDARDPACK には 3 つのプランが紐付き、 OFFICESUBSCRIPTION_FACULTY には 2 つのプランが紐付いています (以下の図は実際のライセンス体系と異なります) 。

ライセンス                   プラン

STANDARDPACK
    |
    +----------------------- EXCHANGE_S_STANDARD
    |
    +----------------------- YAMMER_ENTERPRISE
    |
    +----------------------- MCOSTANDARD

OFFICESUBSCRIPTION_FACULTY
    |
    +----------------------- OFFICESUBSCRIPTION
    |
    +----------------------- ONEDRIVESTANDARD

ライセンスを付与する際に、一部のプランを無効にしたい場合があります。その時は STANDARDPACK/YAMMER_ENTERPRISE:MCOSTANDARD のように、 <ライセンス名>/<プラン名>:<プラン名>:... と指定します。

5.9.5. 制限¶

グループの入れ子 (ネスト。グループへのグループの追加) には対応していません。
組織単位 (OU) の管理には対応していません。ユーザーに所属させたい組織単位は別途 Azure AD の管理ツールで作成しておいてください。
ユーザーの一覧表示のフィルターや操作対象を組織部門やグループで制限することはできません。