IMS移行参考情報 - アカウント自動作成について

このドキュメントの想定読者

Admin Consoleにおいて、Marketo ユーザーに対しSSO による認証を予定もしくはすでに実装している組織のシステム管理者

アカウントの自動作成について

Admin Console では、Federated ID タイプのアカウントを持たないユーザーが、検証済みのメールドメインに基づき、Federated IDユーザーを自動で作成する設定が用意されています(デフォルト有効)。 

こちらの設定が有効になっている組織では、Azure Sync 等の設定を行いAdmin Console ディレクトリのユーザー管理を自動化して、ID プロバイダー（以降IdP）で管理を行っている場合でもAdmin Console 側でFederated IDタイプのユーザーを新規に作成することができます。

しかし、場合によってはIdP 側から同期対象としていないユーザーがAdmin Console 側で新規にFederated IDユーザーとして追加されてしまい、かえってユーザー管理が複雑になってしまうケースがあります。 

ユーザーがアカウントの自動作成により作成されたユーザーか確認する方法と設定を無効化する方法、自動的に作成されてしまったFederated IDユーザーを削除する方法についてまとめました。 

アカウントの自動作成により組織に追加されたユーザーか判断する方法 

アカウントの自動作成により追加されたユーザーかどうかは、Admin Console の監査ログで確認ができます。 

監査ログを開き、event Type が"AUTO_ACCOUNT_CREATIO", eventSub Type が"USER_CREATION" となっているユーザーは、アカウントの自動作成により作成されたユーザーになります。 

監査ログの詳細については、ドキュメントをご確認ください。 

参考) 監査ログを使用したユーザーの割り当てとイベントの追跡 

アカウントの自動作成を無効化する方法 

無効化の手順は、ドキュメントに説明があります。 

「アカウントの自動作成を有効または無効にする」のセクションを参考に設定を無効化します。 

参考) アカウントの自動作成を有効または無効にする

アカウントの自動作成により追加されたFederated ID ユーザーを削除する方法 

Azure Sync 等の設定を行っているかどうかでFederated ID ユーザーを削除する手順が異なります。 

1. Azure Sync 等の設定を行っていない場合

   IMS 上からユーザー情報を完全に削除する手順は、ドキュメントに説明があります。 

   ドキュメントの「Enterprise ID または Federated ID ユーザーの完全削除」のセクションを参考に追加されたFederated ID ユーザーを削除します。 

   参考) Federated ID ユーザーの完全削除 

    

   対象のユーザーが多い場合は、CSV ファイルを使用したユーザー削除を検討します。 

   手順については、ドキュメントをご確認ください。

   参考) CSV を使用したユーザーの一括完全削除
2. Azure Sync 等の設定を行っている場合

   Azure Sync 等の設定を行っている場合は、削除前にAzure Entra ID からAdmin Console に同期されたユーザーデータの編集を一時的に許可する必要があります。 ユーザーデータの編集を一時的に許可した後、上記 1.の手順に従い、追加されたFederated ID ユーザーを削除します。

    

   手順については、ドキュメントをご確認ください。  

   参考) 同期設定の編集