Azure External IDとは
Azure External IDは、自社テナント外のユーザーを認証・管理するための仕組みです。
例えば、
- パートナー企業
- 委託先
- 顧客
といった外部ユーザーをMicrosoft Entra IDで管理できます。
External IDという名前は比較的新しいですが、実態としては以前から存在していた外部ユーザー管理機能を整理したものです。
Microsoft Entra External ID
├── B2B(Business-to-Business)
└── CIAM(Customer Identity and Access Management)
B2B(外部ユーザー招待)
B2Bは外部ユーザーをゲストとしてテナントへ招待する仕組みです。
招待されたユーザーは、自身が持つMicrosoftアカウントや組織アカウントを利用してサインインできます。Microsoft Entra IDから招待できます。
利用例
- 外部ベンダーへの作業依頼
- パートナー企業との共同開発
- Azureサブスクリプションへのアクセス許可
- TeamsやSharePointの共有
利用イメージ
管理者
↓
外部ユーザーを招待
↓
ゲストユーザー作成
↓
RBAC付与
↓
Azureへアクセス
実際に招待すると、Microsoft Entra ID上では「ゲスト」として登録されます。
CIAM(顧客向け認証)
CIAM(Customer Identity and Access Management)は顧客向けアプリの認証基盤です。
Azure管理者向けではなく、サービス利用者向けの仕組みになります。
利用例
- SaaS
- ECサイト
- 会員サイト
- モバイルアプリ
利用イメージ
ユーザー登録
↓
アカウント作成
↓
アプリへログイン
B2Bとの違いは、管理者が招待するのではなくユーザー自身が登録する点です。
B2BとCIAMの違い
| 項目 | B2B | CIAM |
|---|---|---|
| 対象 | パートナー企業・委託先 | 顧客 |
| ユーザー登録 | 招待 | 自己登録 |
| 主な用途 | Azureリソース共有 | アプリ認証 |
| 利用規模 | 小〜中規模 | 大規模 |
| 主な利用者 | Azure管理者 | アプリ開発者 |
RBACとの関係
External IDだけではAzureリソース(サブスクリプション等)へアクセスできません。
必要なのは以下の2段階です。
① External ID
↓
ユーザーを作成
② RBAC
↓
権限を付与
例えば、
ゲストユーザー招待
↓
Storage Blob Data Reader付与
↓
Storage Accountへアクセス可能
ユーザーが存在していてもロールが付与されていなければ何もできません。
参考
Discussion