📔
属性同期とタスク実行の違い
アカウントコントロール(AC)の同期とタスク実行の役割と使い分けについて説明します。
- 属性同期:YESODを正として、外部システムのユーザー属性・状態を継続的に揃え続ける(差分の吸収・最新化)
- タスク実行:入社/異動/退職などのイベントや日付に合わせて、必要な変更を指定タイミングで確実に実行する(アカウント作成・アカウント削除・権限付与・権限剥奪)
以下の表で、目的・トリガー・対象・使い分けの観点で比較します。
| 比較軸 | 属性同期(同期) | タスク実行(アカウント作成・割り当て付与など) |
|---|---|---|
| 目的 | YESODを正として、外部システム(例:Entra ID / AD / 各SaaS)の属性・状態を継続的に最新化する | 「いつ・何の権限をどうするか」をYESODで管理し、外部システムへ権限変更を含む特定の変更を確実に実行する |
| トリガーの考え方 | 「常に揃っている状態」を目指し、定期・継続的に同期(例:毎日/毎時間、または変更検知ベース) | 入社日・退職日・異動日など、イベント/日付に紐づけて実行(例:当日9:00にアカウント作成+必要権限付与) |
| 対象(代表例) | ユーザー属性(氏名、表示名、部署、役職、拠点、電話番号、メール等) | アカウントの作成/無効化、ライセンス付与/剥奪、ロール付与/剥奪、グループ/アプリ割り当て付与/解除(=権限付与/剥奪)等 |
| 例(AD/Entra ID連携) | 部署名・役職・表示名・電話番号などをYESODのマスタに合わせて反映し続ける | 入社日にアカウントを作成し必要なグループ/ロール(権限)を付与、退職日に無効化して権限を剥奪、異動日に所属変更に合わせてグループの付与/剥奪を実行する |
| 期待される結果 | 外部システムの情報がYESODと一致し続ける | 指定日時に、アカウント作成/無効化・ライセンス/ロール/グループ/アプリ割り当て付与/剥奪などの変更が実行され、対象ユーザーの権限が「付与すべきものは付与され、不要なものは外れている(最小権限)」状態になる(入社当日の利用開始・退職後のアクセス遮断などを確実化し、手作業によるやり忘れ・権限残りを減らす) |
| 注意点 | 「同期対象の属性とマッピング」を決める必要がある | 「いつ・どの条件で、どの権限を付与/剥奪するか」を決める必要がある |