※この記事は3分くらいで読めます
AzureADで以下を検討している方にお勧めの情報です。
※ユーザプロビジョニング
※エンプラアプリとのシングルサインオン
※グループ単位のライセンスの割り当て
先日MSサイトで以下の記事を見つけました。
https://docs.microsoft.com/ja-jp/azure/active-directory/users-groups-roles/directory-service-limits-restrictions
※一部抜粋
次のシナリオでは、入れ子になったグループはサポートされません。
★アプリ ロールの割り当て (アプリへのグループの割り当てはサポートされていますが、直接割り当てられたグループ内で入れ子になっているグループにはアクセス権はありません)。アクセス権とプロビジョニングの両方
グループベースのライセンス (グループのすべてのメンバーにライセンスを自動的に割り当てます)
Office 365 グループ。
・ユーザプロビジョニング
・エンプラアプリのシングルサインオン
・ネストグループのライセンス割り当て
はネストグループだとサポートされていないようです。
まじかよ。。。
実際に本当にそうなるか試してみます
ここではeigyo_allのグループを作成します。
eigyo_allの配下にeigyo_GPを追加します。
eigyo_GPの配下にはtestuserが格納してあります。
salesforceのユーザとグループにeigyo_allを割り当てます
testuserで認証テストしてみます
ロールが割り当てられていないとエラーが出ました
ADの世界ではネストグループは当たり前のように使用されているので
それがAzureADで使えないとなるとこれは痛いです。是非改修してほしい。
プロビジョニングで、徐々にグループ追加するパターンの場合
大元のSGを作成し、そこに差分SGを追加していくって事は出来なくなります。
ADのSG情報がそのまま利用できないのはつらいですね。
ご参考になればと存じます。