Azure Active Directory における外部連携と principal の #EXT#

Azure Active Directory は Microsoft がゼロトラスト時代用に開発した Identity Platform のサービス。 各アカウント・組織はテナントと呼ばれ、 google / GCP のノリと同じように、ドメインによって表される。

Azure Active Directory は認証基盤なので、他の認証基盤での認証情報と連携することで、その連携した認証基盤のユーザーを用いて、 Azure Active Directory にログインすることができる。 これを ID Federation と言うらしい。

Azure サブスクリプション、リソース、ロール、Azure AD の関係 その1 - Qiita

##Introduction最近頻繁に聞かれる質問の１つに「サブスクリプションと Azure AD の関係」があります。ここに、リソースグループやら、リソースやら、ロールやら、挙句の果てには RB…

qiita.com

ある Azure Active Directory のテナント上のユーザーは、そのため、そのテナント自身が直で管理しているユーザーと、外部認証基盤を用いてログインしてきた、連携されたユーザー、みたいな2種類があることになる。

Azure Active Directory のユーザー一覧画面にて、

• Identities: 何の認証基盤が用いられたか。テナントのドメインが表示される場合、今のテナントが直管理しているユーザーを表す。それ以外の連携されたユーザーだと、その連携の方法が表示される。
• User principal name: 外部連携の場合、 識別子等#EXT#@テナントドメイン の形式で表示される

などを確認することによって、直のユーザーか、連携されたユーザーかが分かる。