IdP / SSO統合設計 ― Entra ID・Okta・Google Workspaceの統合パターン

M&A後のIT統合で、テナント統合と並んで技術的な難易度が高いのが IdP(Identity Provider)の統合 です。

買収元がEntra ID(旧Azure AD)、買収先がGoogle Workspace──こうした異なるID基盤を持つ2社を、どのように統合するか。この設計判断がその後のSaaS統合、セキュリティポリシーの適用範囲、ユーザー体験のすべてに影響します。

本記事では、実際のM&A案件で頻出する3つの統合パターンを解説します。

ID基盤統合が重要な理由

IdPは、社員が日常的に使うすべてのSaaS・業務システムへの「入口」です。

  • SSO(シングルサインオン): 1回のログインで複数のSaaSにアクセス
  • MFA(多要素認証): ログイン時のセキュリティ強化
  • 条件付きアクセス: 端末の状態やアクセス元に応じたアクセス制御
  • プロビジョニング: ユーザーアカウントの自動作成・削除

IdPが統合されていない状態では、セキュリティポリシーを統一しても実効性が担保できません。逆に言えば、IdPを統合すれば、ポリシーの一元管理が可能になります。

統合前の現状把握

設計に入る前に、両社のID基盤を調査します。

確認すべき項目

IdPの種類とバージョン

  • Entra ID: Free / P1 / P2 のライセンス
  • Google Workspace: エディション(Business / Enterprise)
  • Okta: WIC / CIC のプラン

SSO連携しているSaaS一覧

  • SAML / OIDC で連携しているアプリケーション
  • 各アプリのプロビジョニング方式(SCIM / JIT / 手動)
  • フェデレーションのトラストリレーションシップ

認証ポリシー

  • MFAの適用範囲と認証方式
  • 条件付きアクセスのルール数と内容
  • パスワードポリシー
  • セッション管理(タイムアウト設定)

ディレクトリ構造

  • OU / グループの設計
  • 動的グループの利用有無
  • カスタム属性の使用状況

パターン1:片寄せ統合(推奨度: ★★★)

一方のIdPに全ユーザーを集約するパターンです。最もシンプルで管理コストが低い構成です。

適するケース

  • 両社が同じIdPを使っている(Entra ID同士など)
  • 買収先の規模が買収元に比べて小さい(全体の30%以下)
  • 買収先のSSO連携アプリが少ない

例:買収先のGoogle Workspace → 買収元のEntra IDに統合

移行の流れ

  1. 準備期間(2〜4週間)

    • 買収先ユーザーのEntra IDアカウント作成
    • Microsoft 365ライセンスの割り当て
    • メールボックス移行の準備(AvePoint FLY / BitTitan)
  2. SSO連携の再構築(2〜3週間)

    • 買収先が使用していたSaaSのSSO設定を、Entra IDに切り替え
    • 各SaaSでのSAML / OIDC設定変更とテスト
    • SCIMプロビジョニングの再設定
  3. データ移行(2〜4週間)

    • Google Drive → OneDrive / SharePointへのファイル移行
    • Gmail → Exchange Onlineへのメール移行
    • Googleカレンダーの移行
  4. カットオーバー(1日)

    • DNSのMXレコード切り替え
    • ユーザーのログイン先切り替え
    • 旧Google Workspaceアカウントの無効化

メリット・デメリット

  • ✅ 管理対象のIdPが1つになり、運用がシンプル
  • ✅ セキュリティポリシーを一元管理できる
  • ✅ ライセンスコストの最適化が容易
  • ❌ 移行期間中のユーザー影響が大きい
  • ❌ データ移行の作業量が多い
  • ❌ 買収先のユーザーの学習コスト(ツール変更)

パターン2:フェデレーション共存(推奨度: ★★☆)

両社のIdPを維持しながら、フェデレーション(信頼関係)を構築して相互認証を可能にするパターンです。

適するケース

  • 両社の規模が近く、どちらに寄せるか判断が難しい
  • 買収先の業務システムがIdPに強く依存している
  • 統合の最終形を決めるまでの暫定措置として

例:Entra ID ↔ Google Workspace のフェデレーション

構成イメージ

買収元: Entra ID(マスター)
  ├── Microsoft 365
  ├── Salesforce(SAML)
  └── Slack(SCIM)
        ↕ フェデレーション信頼
買収先: Google Workspace
  ├── Gmail / Drive
  ├── Notion(SAML)
  └── Asana(SCIM)

設定の流れ

  1. Entra IDとGoogle Workspaceの間でSAMLフェデレーションを構成
  2. 共通で使用するSaaS(例: Slack)は、どちらかのIdPをプライマリに設定
  3. 条件付きアクセスは各IdPで個別に管理(ポリシーの整合性を手動で維持)

メリット・デメリット

  • ✅ ユーザー影響が最小限(既存の環境をそのまま使える)
  • ✅ 段階的に統合を進められる
  • ✅ 移行リスクが低い
  • ❌ 2つのIdPを管理し続けるコストと複雑さ
  • ❌ セキュリティポリシーの一元管理が困難
  • ❌ 長期的には「いつか統合しなければならない」問題が残る

パターン3:Okta統合(推奨度: ★★★)

OktaをマスターIdPとして導入し、両社のID基盤を束ねるパターンです。

適するケース

  • 両社が異なるIdPを使っており、どちらにも寄せにくい
  • SaaS利用数が多く、SSO連携の管理を一元化したい
  • 今後もM&Aが予定されており、拡張性を重視する
  • ゼロトラストアーキテクチャへの移行を検討している

構成イメージ

Okta(マスターIdP)
  ├── SSO: 全SaaSへのシングルサインオン
  ├── MFA: 全ユーザーの多要素認証
  ├── SCIM: 自動プロビジョニング

  ├── Entra ID(買収元のディレクトリ)
  │     └── Microsoft 365
  └── Google Workspace(買収先のディレクトリ)
        └── Gmail / Drive

統合の流れ

  1. Okta環境構築(1〜2週間)

    • Oktaテナントの初期設定
    • Entra IDとのディレクトリ連携(Okta AD Agent / Entra ID連携)
    • Google WorkspaceとのSCIM連携
  2. SaaSのSSO切り替え(2〜4週間)

    • 両社のSaaSを、順次OktaのSSO配下に移行
    • SAML / OIDCの再設定とテスト
    • JITプロビジョニングまたはSCIMの設定
  3. MFA・条件付きアクセスの統一(1〜2週間)

    • Okta Sign-On Policyで全社統一のMFAポリシーを適用
    • Okta Device Trustで端末の信頼性検証を導入
  4. 自動化の構築(2〜4週間)

    • Okta Workflowsで入退社処理を自動化
    • ライフサイクル管理(入社→ライセンス付与→退社→全アカウント無効化)

メリット・デメリット

  • ✅ 両社の既存環境を大きく変更せずにID管理を統一
  • ✅ SaaS管理とSSOの一元化
  • ✅ 将来のM&Aにも対応しやすい拡張性
  • ✅ ゼロトラストアーキテクチャへの布石
  • ❌ Oktaのライセンスコストが追加で発生
  • ❌ 3つのID基盤(Okta + Entra ID + Google Workspace)を管理する複雑さ
  • ❌ 導入・設定に専門知識が必要

パターン選定の判断基準

判断基準パターン1(片寄せ)パターン2(共存)パターン3(Okta統合)
移行期間中(3〜6ヶ月)短(1〜2ヶ月)中(3〜6ヶ月)
ユーザー影響
運用コスト(統合後)
セキュリティ一元管理
将来のM&A対応
適する企業規模〜200名100〜500名200名〜

実務上の注意点

ドメイン管理に注意

IdP統合では必ずドメインの管理が関わります。メールドメインの切り替えタイミング、DNS設定の変更、証明書の更新を慎重に計画してください。

テスト環境を必ず用意する

本番のSSO設定を変更する前に、テスト用のSaaSインスタンス(サンドボックス)でSSO連携をテストします。本番環境での「ログインできない」事故は、全社の業務を停止させます。

ユーザーコミュニケーション

ログイン方法が変わる場合、ユーザーへの事前通知と操作手順の配布が不可欠です。特にMFAの設定変更は、事前にデモ動画やスクリーンショット付きの手順書を用意しましょう。

まとめ

IdP統合は、IT PMIの中核となる技術タスクです。片寄せ・共存・Okta統合の3パターンから、自社の状況に合った方式を選択し、段階的に進めることが成功の鍵です。

どのパターンを選ぶにしても、「現状の正確な把握」と「テスト環境での十分な検証」が前提となります。

次回は、テナント統合(Microsoft 365 / Google Workspace)の具体的な移行手順を解説します。


まとめ・ご相談

M&A後のIT統合やテナント移行をご検討の方は、Project365(ITプロジェクト支援・IT PMI)をご覧ください。

貴社のIT課題について、まずは60分の無料相談でお気軽にご相談ください。

🚀Project365 — プロジェクト支援・IT PMI

M&A後のテナント統合・IdP設計・IT環境統合など、市場にほぼない専門領域をカバー。

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

メールでのお問い合わせはこちら →
60分無料相談