結論
ADユーザーの姓と名はしっかり記入しましょう。
問題
Azure AD で新規作成したユーザーがAWS Single Sign-On(以降AWS SSO)で認証されない事象が発生。
4ヶ月前に(ほぼ)同じ手順で作成したユーザーは同現象の確認はされず。
※姓名の入力有無という違いが発生しているのですが、問題発生時の私は違いを認識していません
AWS SSOができないユーザーではこのように「無効なMFA認証情報」という表示がされます。
エラーの原因
結論にも書きましたが、ADユーザーの姓と名の入力が欠如していたことが原因でした。
ADユーザー作成時、名前は必須項目ですが姓と名は未記入でも問題ありません。
一方、AWS側の情報では姓と名の項目が必要です。
したがってADユーザーの情報をもとにAWSのログインユーザーを作成できないため、AWS SSOに失敗していたのでした。
私のケースでは、短期間の研修用にユーザーを作成したので姓と名の記入について横着をしました。
一般的に本格運用しているADではあまり起きない事象かもしれませんが、それ故に本エラーに対する対処法がなかなか発見できなかったため苦労しました。
エラーの原因確認
ここからはエラーコードチェックの手順について、忘備録もかねて記載します。
ユーザーに表示されるエラーメッセージからADのMFA周りを確認したあなた(と私)!
それは盛大なミスリードです。
21年2月4日現在、Azure ADにはプロビジョニングログという機能がプレビューされています。
ここでADのユーザー・グループのプロビジョニングについて確認可能です。
今回の件で言うと、AD側ユーザーをもとにAWSにもユーザーが作成されます。
この操作は自動で行われますが、失敗しても対して通知してくれません。(通知設定を変更できたりしたらごめんなさい)
成功、失敗についてはこのプロビジョニングログで確認しましょう。
失敗したログを選択すると、作業ステップの詳細について表示されます。
タブからトラブルシューティングと推奨事項を選択します。
するとエラーコードとエラーメッセージについて、英語で記載があります。
あとはエラーコードで検索かけたりしましょう。
本件では、エラーメッセージは原因についてはクリティカルな記載をしていませんでした。
参考