#はじめに
本投稿では、Azure AD Connect(以下、AADC)を用いて、オンプレミスADからAzureADへユーザーオブジェクト
の同期を行い、AADC内で実行される一連を処理を順を追って詳細に確認してみた。
ここでは、ユーザーオブジェクトをオンプレミスAD上に新規作成をし、AADCのDeltaSynchronization(差分同期)
機能を用いて、AzureADへオブジェクトの同期を行った。
#同期処理の概略図
AADCでDeltaSync(差分同期)を行った際の一連の処理の流れの概略図となる。
①Delta Import (オンプレAD)
②Delta Import (AzureAD)
③Delta Synchronization (オンプレAD)
④Delta Synchronization (AzureAD)
⑤Export(AzureAD)
⑥Export(オンプレAD)
#一連の処理を一つひとつ確認してみた。
①Delta Import (オンプレAD)
ここの処理で、オンプレAD用のコネクタスペースにオンプレADとのオブジェクトの
差分が取り込まれる。ここではオンプレAD用のコネクタから、手動でDelta Importを行ってみる。
ここでは、新規にユーザーオブジェクト(testuser3)を作成したので、以下の画面の通り、
コネクタスペースに新規にオブジェクトが取り込まれたことが確認できる。
②Delta Import (AzureAD)
ここの処理で、AzureAD用のコネクタスペースにAzureADとのオブジェクトの
差分が取り込まれる。ここではAzureAD用のコネクタから、手動でDelta Importを行ってみる。
ここでは、オンプレADからAzureADへの一方向の同期処理であるため、コネクタスペースに新規オブジェクトは取り込まれない。
③Delta Synchronization (オンプレAD)
オンプレADのコネクタスペースとメタバース間でオブジェクトの同期を行います。オンプレAD用のコネクタから手動実行。
以下の通り、先ほどコネクタスペースに取り込まれたオブジェクトがメタバースにも取り込まれたことが確認できる。
取り込まれたオブジェクトをダブルクリックすると詳細を確認できる。各属性がどの同期規則よって取り込まれたかを確認することができる、
なお、ここではSourceAnchorにObjectGUID属性を用いている。ObjectGUIDをBse64 encodeしたものが、SourceAnchorにセットされる。以下のPowershellコマンドをAD上で実行すると、今回用いたユーザーのObjectGUID属性をBase64 encodeしたものがSourceAnchorに設定されていることが分かる。この値は最終的に、AzureAD上のImmutableIDといった属性にセットされる。
$guid = (get-aduser -filter 'Name -like "*testuser3*"').objectguid
$immutableid = [System.Convert]::ToBase64String($guid.ToByteArray())
$immutableid
wMJSnS0INUmaGM5BrQoNAA==
④Delta Synchronization (AzureAD)
AzureADのコネクタスペースとメタバース間でオブジェクトの同期を行う。AzureAD用のコネクタから手動実行。
⑤Export (AzureAD)
ここで、AzureAD用コネクタスペースからAzureADにユーザーの同期を行う。先ほどメタバースに取り込まれた新規ユーザーオブジェクトが、AzureAD用コネクタスペースのステージングオブジェクトとして、AzureADに同期される。
Exportをした結果、先ほど作成したオブジェクトがAzureAD側に取り込まれたことが分かる。
⑥Export (オンプレAD)
オンプレAD用コネクタスペースでExportを行う。
もちろんこの処理によって、オンプレAD側には何も取り込まれない。
