AWS SSOのIDストアをAzure ADにしている環境においてAzure ADのユーザを削除したときのAWS SSOの状態まとめ

2022.01.17

AWS SSO の ID ストアを Azure AD とし、SCIM による自動プロビジョニングを有効化している環境において、Azure AD 側でユーザを削除した場合とエンタープライズアプリケーションからユーザの割り当てを解除した場合では AWS SSO 側の状態が変わることがあります。ユーザが無効化されて残る場合と削除される場合です。

自身の備忘録も兼ねて、Azure AD 側の操作が AWS SSO 側にどのように影響を与えるのか調べた結果を記します。

前提条件

動作を確認した環境の前提条件です。

  • Azure AD のエンタープライズアプリケーションは 2022 年 1 月 10 日時点のギャラリー「AWS Single Sign-on」を利用
  • SCIM による自動プロビジョニングのマッピング設定は、ギャラリー「AWS Single Sign-on」のデフォルト設定を利用
    • Provision Azure Active Directory Users の Not([IsSoftDeleted]) 属性の設定(下図)


動作確認結果

動作確認したユーザとグループの構成

Azure AD のユーザとグループはシンプルな構成で試しました。1 つのグループに 1 ユーザのみが含まれている状態です。

このユーザとグループを、エンタープライズアプリケーションに対して、グループのみ割り当てる場合とグループとユーザの両方を明示的に割り当てる場合の 2 つのシチュエーションで動作を確認しました。


動作確認結果まとめ

Azure AD Group のみをエンタープライズアプリケーションに割り当てる場合

エンタープライズアプリケーションにはグループのみ割り当てて AWS SSO に同期している構成です。

この状態において「操作」を行った結果、AWS SSO のユーザとグループがどのように変化したのかをまとめた結果の表です。Azure AD のユーザの「削除」と「完全に削除」の違いは補足説明に記載しています。

項番 操作 同期後の AWS SSO のグループの状態 同期後の AWS SSO のユーザの状態
1-1 Azure AD User を削除 存在 存在(無効)
1-2 Azure AD User を削除(完全削除) 存在 削除
1-3 Azure AD Group を削除 削除 存在(無効)
1-4 Azure AD Group をエンタープライズアプリケーションから割り当て削除 存在 存在(無効)


Azure AD Group と Azure AD User 両方をエンタープライズアプリケーションに割り当てる場合

エンタープライズアプリケーションにグループとユーザ両方を明示的に割り当てて AWS SSO に同期している構成です

この状態において「操作」を行った結果、AWS SSO のユーザとグループがどのように変化したのかをまとめた結果の表です。Azure AD のユーザの「削除」と「完全に削除」の違いは補足説明に記載しています。

項番 操作 同期後の AWS SSO のグループの状態 同期後の AWS SSO のユーザの状態
2-1 Azure AD User を削除 存在 存在(無効)
2-2 Azure AD User を削除(完全削除) 存在 削除
2-3 Azure AD Group を削除 削除 存在(有効)
2-4 Azure AD User をエンタープライズアプリケーションから割り当て削除 存在 存在(有効)
2-5 Azure AD Group をエンタープライズアプリケーションから割り当て削除 削除 存在(有効)


各操作後の状態イメージ図

AWS SSO の図において、灰色の User は無効化状態を示します。

Azure AD Group のみをエンタープライズアプリケーションに割り当てる場合

項番 1-1 〜 1-4 の操作前の状態

項番 1-1   Azure AD User を削除後の状態

項番 1-2   Azure AD User を削除(完全に削除)後の状態

項番 1-3   Azure AD Group を削除後の状態

項番 1-4   Azure AD Group をエンタープライズアプリケーションから割り当て削除後の状態


Azure AD Group と Azure AD User 両方をエンタープライズアプリケーションに割り当てる場合

項番 2-1 〜 2-5 の操作前の状態

項番 2-1   Azure AD User を削除後の状態

項番 2-2   Azure AD User を削除(完全に削除)後の状態

項番 2-3   Azure AD Group を削除後の状態

項番 2-4   Azure AD User をエンタープライズアプリケーションから割り当て削除後の状態

項番 2-5   Azure AD Group をエンタープライズアプリケーションから割り当て削除後の状態


操作と状態の補足説明

Azure AD のユーザの「削除」と「完全に削除」の違い

Azure AD ではユーザを削除した場合でも「削除済みのユーザー」として一定期間残ります。

削除済みのユーザーからさらに「完全に削除」を行うことでユーザの削除となります。もしくは、30 日の経過でも完全に削除されます。


AWS SSO のユーザ無効化状態

AWS SSO において、ユーザが無効化されている場合はステータスが「無効」と表示されます。

まとめ

AWS SSO の ID ストアを Azure AD にしている環境において、Azure AD 側でユーザを削除した場合とエンタープライズアプリケーショから割り当てを削除した場合の AWS SSO への影響をまとめました。

はじめは、Azure AD 側でユーザを削除した場合は AWS SSO 側でもユーザは削除されるものと思っていましたが、無効化状態で残ることもあることを知ったため、動作が気になって調べました。

同じ疑問を持たれた方のご参考になれば幸いです。