AWS SSOのIDストアをAzure ADにしている環境においてAzure ADのユーザを削除したときのAWS SSOの状態まとめ
AWS SSO の ID ストアを Azure AD とし、SCIM による自動プロビジョニングを有効化している環境において、Azure AD 側でユーザを削除した場合とエンタープライズアプリケーションからユーザの割り当てを解除した場合では AWS SSO 側の状態が変わることがあります。ユーザが無効化されて残る場合と削除される場合です。
自身の備忘録も兼ねて、Azure AD 側の操作が AWS SSO 側にどのように影響を与えるのか調べた結果を記します。
前提条件
動作を確認した環境の前提条件です。
- Azure AD のエンタープライズアプリケーションは 2022 年 1 月 10 日時点のギャラリー「AWS Single Sign-on」を利用
- SCIM による自動プロビジョニングのマッピング設定は、ギャラリー「AWS Single Sign-on」のデフォルト設定を利用
- Provision Azure Active Directory Users の Not([IsSoftDeleted]) 属性の設定(下図)
動作確認結果
動作確認したユーザとグループの構成
Azure AD のユーザとグループはシンプルな構成で試しました。1 つのグループに 1 ユーザのみが含まれている状態です。
このユーザとグループを、エンタープライズアプリケーションに対して、グループのみ割り当てる場合とグループとユーザの両方を明示的に割り当てる場合の 2 つのシチュエーションで動作を確認しました。
動作確認結果まとめ
Azure AD Group のみをエンタープライズアプリケーションに割り当てる場合
エンタープライズアプリケーションにはグループのみ割り当てて AWS SSO に同期している構成です。
この状態において「操作」を行った結果、AWS SSO のユーザとグループがどのように変化したのかをまとめた結果の表です。Azure AD のユーザの「削除」と「完全に削除」の違いは補足説明に記載しています。
| 項番 | 操作 | 同期後の AWS SSO のグループの状態 | 同期後の AWS SSO のユーザの状態 |
|---|---|---|---|
| 1-1 | Azure AD User を削除 | 存在 | 存在(無効) |
| 1-2 | Azure AD User を削除(完全削除) | 存在 | 削除 |
| 1-3 | Azure AD Group を削除 | 削除 | 存在(無効) |
| 1-4 | Azure AD Group をエンタープライズアプリケーションから割り当て削除 | 存在 | 存在(無効) |
Azure AD Group と Azure AD User 両方をエンタープライズアプリケーションに割り当てる場合
エンタープライズアプリケーションにグループとユーザ両方を明示的に割り当てて AWS SSO に同期している構成です
この状態において「操作」を行った結果、AWS SSO のユーザとグループがどのように変化したのかをまとめた結果の表です。Azure AD のユーザの「削除」と「完全に削除」の違いは補足説明に記載しています。
| 項番 | 操作 | 同期後の AWS SSO のグループの状態 | 同期後の AWS SSO のユーザの状態 |
|---|---|---|---|
| 2-1 | Azure AD User を削除 | 存在 | 存在(無効) |
| 2-2 | Azure AD User を削除(完全削除) | 存在 | 削除 |
| 2-3 | Azure AD Group を削除 | 削除 | 存在(有効) |
| 2-4 | Azure AD User をエンタープライズアプリケーションから割り当て削除 | 存在 | 存在(有効) |
| 2-5 | Azure AD Group をエンタープライズアプリケーションから割り当て削除 | 削除 | 存在(有効) |
各操作後の状態イメージ図
AWS SSO の図において、灰色の User は無効化状態を示します。
Azure AD Group のみをエンタープライズアプリケーションに割り当てる場合
項番 1-1 〜 1-4 の操作前の状態
項番 1-1 Azure AD User を削除後の状態
項番 1-2 Azure AD User を削除(完全に削除)後の状態
項番 1-3 Azure AD Group を削除後の状態
項番 1-4 Azure AD Group をエンタープライズアプリケーションから割り当て削除後の状態
Azure AD Group と Azure AD User 両方をエンタープライズアプリケーションに割り当てる場合
項番 2-1 〜 2-5 の操作前の状態
項番 2-1 Azure AD User を削除後の状態
項番 2-2 Azure AD User を削除(完全に削除)後の状態
項番 2-3 Azure AD Group を削除後の状態
項番 2-4 Azure AD User をエンタープライズアプリケーションから割り当て削除後の状態
項番 2-5 Azure AD Group をエンタープライズアプリケーションから割り当て削除後の状態
操作と状態の補足説明
Azure AD のユーザの「削除」と「完全に削除」の違い
Azure AD ではユーザを削除した場合でも「削除済みのユーザー」として一定期間残ります。
削除済みのユーザーからさらに「完全に削除」を行うことでユーザの削除となります。もしくは、30 日の経過でも完全に削除されます。
AWS SSO のユーザ無効化状態
AWS SSO において、ユーザが無効化されている場合はステータスが「無効」と表示されます。
まとめ
AWS SSO の ID ストアを Azure AD にしている環境において、Azure AD 側でユーザを削除した場合とエンタープライズアプリケーショから割り当てを削除した場合の AWS SSO への影響をまとめました。
はじめは、Azure AD 側でユーザを削除した場合は AWS SSO 側でもユーザは削除されるものと思っていましたが、無効化状態で残ることもあることを知ったため、動作が気になって調べました。
同じ疑問を持たれた方のご参考になれば幸いです。
![[レポート] Modernize identity and enhance security with Okta and AWS #PRT042 #reinvent](https://devio2023-media.developers.io/wp-content/uploads/2022/11/eyecatch_reinvent2022_session-report.png)
