EntraIDでのSAML連携の解除のベストプラクティス

Question

EntraIDで構成したSAML SSOの連携を解除する際、ベストプラクティスのようなものは存在するのでしょうか?

SAML SSOを構築するドキュメントはありますが、SSOを解除する際のドキュメントは存在しないように思います。

当方のテナントでは、エンタープライズアプリケーションへのユーザーの割り当てはアプリごとに作成したグループを介して行っているため、これまでは

• アプリの削除
• グループの削除

という手順で実施しておりました。 アプリの削除前に他のグループの割り当てが無いかは確認しております。

ただ、SAMLを解除するためにアプリごと削除するという手順に若干違和感を感じていることも有り、もしベストプラクティスが存在していれば知りたいと考えた次第です。

Answer 1

チャブーンです。

この件ですが、私が知る限りですが「Entra ID AppのSAML設定解除」に特段のベストプラクティスといったものは、聞いたことがありません。一般論ですが、「設定の削除」を行う場合、以下のようなノウハウは存在します。

• 万一問題が発生した場合のundo(設定の書き戻し)を行う方法を確認しておく
• 設定の解除で「予期しない動作(セキュリティホール等)」を起こさないよう機能はすべて削除する

上記になぞらえると、たとえばアプリの「割り当て」だけを解除した場合、だれかが管理者権限を取得し、該当アプリの割り当てを再構成した場合、セキュリティホールが発生し、大変な問題が起こります。アプリそのものを削除すれば、Entra IDとアプリの関連性自体がないため、(少なくとも)このような問題は起こりません。攻撃者は見知らぬ外部ではなく、社内のメンバーもいることを考えれば、妥当な対応のように思われます。