クラウド・サービスであるOffice 365でも、社内のActive Directoryアカウントを利用してシングル・サインオンできると便利だ。でも、その方法は? 社内ADをID管理基盤として利用する場合の環境構築手順を詳しく解説する。
第1回では、クラウド・サービスを含む各種システムをさまざまな環境からセキュアかつ効率的に利用するにはID連携が必要であること、およびID連携に関する技術要素と管理に関する考え方を解説した。今回からは、代表的なクラウド・サービスとのID連携およびクラウド・サービス上のアイデンティティ情報を社内から管理する環境を実際に構築することにより、実際の利用イメージや前回解説した概念について理解を深めていただくことを目指す。
なお、解説すべき技術要素が多岐にわたるため、以下のクラウド・サービスを対象に、それぞれ特徴的な実装方法をピックアップして解説する(順番も以下の通り)。
■Office 365
■Google Apps
■Salesforce.com
■Windows Azure Active Directory
今回はOffice 365とのID連携およびSSOの環境構築について、次回はその動作の確認方法についてそれぞれ解説する。
Office 365を利用する上で、認証およびID管理基盤の利用方法には以下の3つのパターンがある。
パターン | 認証 | ID管理 |
---|---|---|
A | Windows Azure Active Directoryで認証 | Windows Azure Active Directoryを利用 |
B | Windows Azure Active Directoryで認証 | ディレクトリ同期ツールを利用して社内AD DSと同期 |
C | AD FS 2.0を利用して社内AD DSで認証 | ディレクトリ同期ツールを利用して社内AD DSと同期 |
Office 365における認証およびID管理基盤の利用パターン |
本稿では、社内のアイデンティティ基盤との連携を解説するため、表中のパターンCの環境を構築する方法を解説する。
Office 365と社内AD DSを連携し、社内外からブラウザやOutlookなど複数の方法で利用するための環境を構築するにはそれなりの準備が必要となる。以下に最低限必要となる要件を記載する。
要件 | 用途 | 備考 |
---|---|---|
管理可能な社外用ドメイン | ・Office 365/Windows Azure Active Directory側からのテナント認識 ・社外からの認証システム(AD FS)へのアクセス |
・社内のAD DSドメイン名と同一である必要がある。 ・社内がローカル・ドメイン(〜.localなど)を利用している場合は社内AD DS上のオブジェクトのユーザー・プリンシパル名(UPN)を外部ドメインと合わせる必要がある |
外部証明機関から発行されたサーバ証明書 | ・Office 365/Windows Azure Active Directory側からのセキュアな通信確立 | AD FS 2.0/AD FSプロキシ・サーバのFQDN で証明書を取得する |
プランE1以上のOffice 365 | ・Active Directory統合機能の利用 | 教育機関向けのプランAでも可 |
Office 365と社内AD DSを連携するための要件 |
まずはOffice 365にサインアップして、管理者ポータルからSSO用のドメイン(上表の「管理可能な社外用ドメイン」)を追加する。それには、Office 365の管理者ポータルを開き、左側のナビゲーション・メニューの[管理]より[ドメイン]をクリックしてドメイン管理画面を開く。
[ドメインの追加]をクリックすると[ドメインの指定]画面が表示されるので、用意しておいた社外ドメイン名を入力する。
[次へ]ボタンをクリックすると[ドメインの確認]画面に移る。ここでは、指定したドメインの所有権をマイクロソフトに確認される。そのための方法が代表的なレジストラごとに表示されるので、自身の利用しているレジストラを選択後、指示に従って所有権確認用のDNSレコードをドメインへ追加する。リストにないレジストラを利用している場合は、レジストラ選択リストから[一般的な手順]を選ぶと、追加すべきDNSレコード(TXTレコードまたはMXレコード)が表示されるので対象のドメインへ登録する。
必要なDNSレコードを登録したら、インターネットへの当該レコードの伝搬を待った後、Office 365管理ポータルの画面下部の[完了しました。今すぐ確認してください]ボタンをクリックする。するとOffice 365側からドメインの所有権の確認(必要なレコードの追加ができたかどうか)が行われる。DNSレコードの伝搬にはしばらく時間がかかるため、所有権確認でエラーが表示された場合はしばらく(数十分から数時間)待ってから再度確認する。
ドメインの確認が完了すると、追加したドメインで利用するサービスの選択を行う画面が表示される。なお、Exchange Online/Lync OnlineとSharePoint Onlineは同時に追加できないため、本稿ではExchange Online/Lync Onlineを利用する。
サービスを追加すると、それらに対応したDNSレコードの作成が求められるので、前述のドメイン確認時と同様の手順でDNSレコードを登録する。執筆時点でExchange Online/Lync Onlineのために必要なDNSレコードは以下の通りである。
サービス | レコード種別 | ホスト名 | |
---|---|---|---|
Exchange Online | MX | @ | |
CNAME | autodiscover | ||
TXT | @ | ||
Lync Online | SRV | _sip | |
SRV | _sipfederationtls | ||
CNAME | lyncdiscover | ||
Exchange Online/Lync Onlineで必要となるDNSレコード 各レコードの設定値は、対象のドメインに応じて管理画面から指示される。 |
すべての作業が終わったら、管理者ポータルよりドメインを表示させる。追加したドメインの状態が[確認済み]となっているはずだ。
Copyright© Digital Advantage Corp. All Rights Reserved.