質問
現在SSO無効化状態で環境を利用していますが、有効化を検討しています。
SSO有効化した場合の既存ユーザーへの影響を確認したく質問させてください。
前提:
・環境にSSO未設定の状態でログインユーザーを作成(以降「未SSOユーザー」とする)
・後日SSOアドオンを購入し、ログインユーザーををIdP(EntraID)から連携(以降「SSOユーザー」とする)(IdPとの連携は「特定のグループ」を指定)
質問
SSO有効化により、SSO無効化状態で作成されたユーザーの挙動を教えてください
・未SSOユーザーは環境に残るのか?
・残る場合、未SSOユーザーは引き続きログイン可能か?
・残らない場合、未SSOユーザーが作成したリソースは引き続き利用可能か?また、Personalワークスペースの情報は引き継がれるか?
・後日SSOを無効化した場合、SSOユーザーが未SSOユーザーに切り替わるのか?また、Personalワークスペースの情報も残るのか?
また、SSO有効化範囲によっても挙動が変わりうる認識です。
今回は特定のグループのみ有効化で考えていますが、各パターンで注意点があれば教えてください。
パターン① 特定のグループのみSSOを有効化したときの、別グループ内の既存ユーザ
パターン② 特定のグループのみSSOを有効化したときの、特定グループ内の既存ユーザ
パターン③ すべてのグループにSSOを有効化したときの既存ユーザ(②と同じ挙動になると考えている)
※既存ユーザ:EntraID内に登録されているメールアドレスと同じアドレスで作成されたHSQ内のユーザ
回答
SSO無効化状態で作成されたユーザーの挙動につきまして、EntraIDにてメールアドレスを指定しSSOを有効化した場合、既存の未SSOユーザはSSOユーザとして環境に残ることとなります。
なお対象ユーザーは、SSOログインにてログイン可能です。
またご認識いただいております通り、後日に再度SSOを無効化した場合は
対象ユーザーが未SSOユーザーとなり、ログイン用パスワードの再設定が必要となります。
また、ワークスペースなどの情報も残ります。
SSO有効化範囲による差異につきまして、自身が所属していないグループのSSOが有効となった場合、
SSOの設定を編集する際などに注意が必要となります。
また、SSOの編集権限を持っているユーザーはSSOを有効化することはできませんので、
一人のユーザーはSSOを有効化しないパターン①(特定のグループのみSSOを有効化したときの、別グループ内の既存ユーザ)に属している必要がございます。
ご認識いただいております通り、パターン②(特定のグループのみSSOを有効化したときの、特定グループ内の既存ユーザ)とパターン③(すべてのグループにSSOを有効化したときの既存ユーザ)は近い挙動となります。
ただ、パターン③の場合はSSO機能が利用できなくなった場合に
誰もSSO機能の変更ができず、ログインできなくなる事象が発生することが考えられます。
そのため、EditSSOの権限を持ちSSOが有効化されていないユーザーを
ご用意いただくことを強く推奨させていただいております。
コメント
0件のコメント
記事コメントは受け付けていません。