【移行に必要な情報マッピング表】
項目 既存環境(AD-GWS-OpenAM)での情報元 新環境(AD-EntraID-ADFS)での移行先または対応方法 備考
ユーザーID(ログインID) GWS上の Primary Email
(例: user@example.com) ADの userPrincipalName (UPN)
(例: user@example.com) Entra ID ではUPNがSSOでのNameIDになる
氏名(表示名) ADの givenName / sn → GCDSで同期 ADの同じ属性値がEntra IDにEntra Connectで同期される 特別な対応不要
所属部門(OU) ADのOU → GWSの組織部門にマッピング ADのOU → Entra IDでのDynamic Groupやセキュリティ設定に応用可 任意でグループベースの設定に
メールアドレス(別名) GWSで追加設定(エイリアス) Entra IDで proxyAddresses に設定 smtp:alias@example.com形式で
グループ構成 ADのセキュリティグループ → GCDSでGoogleグループに同期 ADのセキュリティグループ → Entra ID グループとして同期 グループSSO割当・ライセンス割当にも使用
パスワード認証 OpenAMがADと連携して認証(パスワード連携) ADFSがADドメインコントローラに直接認証 基本構成が同じのため、特別な対応不要
SAML NameID OpenAMで mail や UPN を返す ADFSで userPrincipalName を NameID に設定 クレームルールの明示が必要
SAML IdP(SSO)URL GWSに登録された OpenAM の SAMLエンドポイント GWSではなく、Entra ID 側が SAML SP(ADFSが IdP)になる SSO対象サービスがM365等に切替
対象ドメイン情報 GWSに登録された複数のドメイン(SSO個別設定) Entra ID でカスタムドメイン登録+ドメイン認証+フェデレーション設定 Convert-MsolDomainToFederated など使用
【移行で行うべき具体作業例】
作業内容 詳細
① Entra ID にカスタムドメインをすべて登録 GWSで使っていたドメイン(example.com, example.jp等)をEntra IDでも使用可能にする
② GCDSで同期していたユーザー情報をEntra Connectで同期 同じADを使用していれば、Entra Connectのスコープ設定だけで対応可能
③ Entra ID 側でUPNがGWSと同じになるよう調整 user@example.com の形式がずれていれば、ADのUPNを修正(or UPNサフィックス追加)
④ ADFSのクレームルールでNameIDに UPN を使用 SAML SP(M365など)に対して NameID = userPrincipalName を返すよう設定
⑤ ライセンス割当やアプリ割当の自動化設計 Entra IDグループや属性ベースの割当でGWSのような統制を再現可能
⑥ 旧SSO(OpenAM)停止に向けた移行スケジュール調整 ドメイン単位でSSO切替可能。GWSドメインごとのSSO停止→Entra IDでのSSO開始を段階的に行うと安全
注意点
注意点 説明
UPNとメールアドレスの不一致 GWSでは mail を使っていて、ADでは UPN が user@internal.local だとSSOが失敗する
OpenAM特有のクレームや属性変換 ADFS側で再現できない場合がある(正規表現、外部属性参照など)ため設計見直しが必要
GWS連携アプリの扱い GWS→M365への切替にともない、ユーザー教育や連携アプリのSSO再設定も必要