こんにちは!コーポレートIT部 IT企画推進課 小川敬三です。

まず最初にこのブログシリーズは、プロローグ、エピローグ含め全8話でお送りする予定でしたが、内容改め全7話とさせていただきます。そのため今話を含め残すところ2話となりますが、最後までよろしくお願いいたします。

第4話までで、Windows端末、Mac端末のEntra参加(登録)は完了し、デバイスはEntra配下での管理を行えるようになりましたので、次は、クラウドサービス群のEntraSSOへの移行に着手です。
今話では、弊社で利用しているサービス、特にGoogle WorkspaceのEntra移行について紹介いたします。

どこから手をつけるか

当時、IdpはHENNGE One(以下、HENNGE)を利用していました。HENNGEはUI/UXも分かりやすく運用する者にとって非常に優れたサービスです。Idpの観点だけでいえばEntraに移行する理由は全くありませんでしたが、中長期でめざす業務IT環境の青写真を実現するためにEntraへの移行を決定しました。

Google Workspaceが業務におけるコミュニケーション基盤となっているため、業務影響も大きくGoogle WorkspaceをEntraに移行するタイミングがポイントでした。

まず、HENNGEはADと連携しており、ADでIDを発行後、バッチを走らせHENNGEに同期、そこからGoogleアカウントをプロビジョニングする流れです。このアカウント作成の一連の運用を考慮して、移行を進める必要がありました。

Google Workspace以外のSaaSは、SAML認証を行っているだけですので、SSOの設定自体はそれほど難しくはありません。事前準備をしておくことで動作確認を含めて、1サービスあたり1時間もあれば十分です。利用者数が少ないサービスであれば日中の切り替えも可能でした。

「どこから手をつけるか」、これを2パターンで検討しました。

  1. Google Workspace以外のSaaSを先に切り替え、最後にGoogle Workspaceを移行する
  2. Google Workspaceを先に切り替え、その他のSaaSのSSOを移行する

検討といいましたが、実際は検討も何もなく「決め」でしかありません。
Entra移行の作業負担度合を例えるなら、Google Workspaceがラスボス竜王、Salesforceがゴーレム、他は、スライム、ドラキー、せいぜいキメラといったところでしょう。一般モンスターを倒した後にラスボスに挑むか、いきなりラスボスに挑むかの選択です。
結果、パターン2を選択し、いきなりラスボスに挑むことにしました。避けられない強大な敵なら最初に倒しておけば、後が楽ですしね。

Google WorkspaceのEntra移行

真っ先にGoogle WorkspaceのEntra移行に着手することになった訳ですが、最初にラスボスを打倒するための作戦をご紹介します。コーポレートIT部が管理しているGoogle Workspaceは、3つの会社が利用しています。イルグルム、イーシーキューブ、そしてイルグルムベトナムです。そのため、一度に全社を切り替えるのではなく、問題発生時のサポート負担を視野に入れ、日本→ベトナムの順で、2回に分けて攻略する作戦を立てました。

ここでお伝えしたいポイントは、Google Workspaceに対してIdpとしてHENNGEとEntraIDを共存させることができるということです。共存させながら切り替えていく手順をご紹介いたします。

▼1回目

  1. HENNGEとGoogle Workspaceの連携範囲を変更(ベトナムのみHENNGE)
  2. EntraとGoogle WorkspaceのSSO設定
  3. 国内の利用者のみEntraのSSOプロファイルを割当

以上で、国内の利用者のGoogle WorkspaceはEntraと、ベトナムの利用者はHENNGEとSSOする環境となりました。

次に、ベトナムの利用者も含めてすべての利用者の移行です。

▼2回目

  1. HENNGEの設定をサードパーティのSSOプロファイルに変更 ※最終的には削除します
  2. HENNGEとGoogle Workspaceの連携を解除
  3. Google管理画面で、EntraをメインのSSOプロファイルに設定
  4. ベトナム利用者にEntraのSSOプロファイルを割当
  5. EntraからGoolgeアカウントをプロビジョニングするための設定

正確に記載すると途中動作テスト等も行っていますので、手順はもっと細かくなりますが割愛しています。

ラスボスであるGoogle Workspaceの移行を真っ先に完了したおかげで、その後の各サービスのSSO切り替えは大きな問題もなく順調に進めることができました。

余談

入念な準備のおかげでスムーズに作業を進めることができたのですが、1つだけ大きくはまった点がありました。当たり前と言えば当たり前ですが、動作検証するときは特権アカウントを使ってはいけないということです。検証時に想定通りの動きとならず、結構な時間を費やし悩んだ結果が、特権アカウントだったというオチ。「検証は一般ユーザーと同じ権限で」これは教訓です。

次回のブログでとうとう最後となります。最後はエピローグとして、「ADからの解放」について触れて締めくくりたいと思います。

募集

いろいろな会社の情シス、コーポレートITはどんなことに悩みを抱え、どのような理想を追いかけているのだろうと気になっています。ざっくばらんに交流の場を持つことができれば嬉しいです。

もし、ブログを読んで交流してみたい!もっと詳しく話をしてみたい!という方がいらっしゃいましたら、ぜひ、以下フォームからお問い合わせください。
その際、「IT管理クエストブログを見て!」と記載していただけますと幸いです。

お問い合わせフォーム 

よろしくお願いいたします。