第3回 Office 365とのアイデンティティ基盤連携を実現する(後):クラウド・サービスと社内システムとのID連携 最新トレンド(1/2 ページ)
前回構築したOffice 365と社内Active Directoryとのアイデンティティ連携環境で、実際に社内あるいは社外からPC/スマートフォンでアクセスしてシングル・サインオンがどのように動作するのか確認する。
第2回ではAD FS 2.0およびディレクトリ同期ツールを利用したOffice 365と社内Active Directory(AD)のアイデンティティ(ID)連携環境の構築方法を解説した。今回は構築した環境を使って実際のID連携動作を確認する。
今回、Office 365への接続を確認するために以下のパターンの接続環境を用意した。ADのリソースに直接アクセスできる社内ネットワークと、それができない社外では挙動が異なるため、それぞれ別々に確認する。
| ネットワーク | デバイス | クライアント | |
|---|---|---|---|
| 社内から接続 | PC | Webブラウザ(Outlook Web App) | |
| Outlook 2010 | |||
| Lync 2010 | |||
| 社外から接続 | PC | Webブラウザ(Outlook Web App) | |
| Outlook 2010 | |||
| Lync 2010 | |||
| スマートフォン (Windows Phone 7.5、 Android OS 4.0) |
Outlook(Exchange ActiveSync) | ||
| カレンダー | |||
| Lync 2010 Mobile | |||
| 動作確認パターン 社内からと社外からの接続とを区別しているのは、ADに直接アクセスできる社内と、それができない社外では挙動が異なるためである。「Lync」とは、インスタント・メッセージやボイス・メールなどの送受信ができるマイクロソフトのサービス/製品である。 | |||
また、クラウド・サービスを利用する際の大きなメリットの1つである、いつでもどこからでもアクセスが可能である、という点を享受するためには、スマートフォンなどの非PC端末でもアクセスできることが重要である。そこで、Android OS 4.0またはWindows Phone 7.5を搭載したスマートフォンからの接続についても確認する。
社内からOffice 365へのアクセスの確認
まずは社内設置のWindows PCからOffice 365に接続する際の動作を確認しよう。
●社内PCのWebブラウザからアクセス
まず、ADドメインに参加しているPCのWebブラウザ(Internet Explorer:IE)からOutlook Web Appを使ってExchange Onlineへアクセスする。
その前に、WindowsへのログオンからOffice 365へシングル・サインオンするために、あらかじめAD FS 2.0サーバへ統合Windows認証でログオンできるようにしておく必要がある。具体的にはIEのセキュリティ設定でAD FS 2.0サーバをローカル・イントラネット・ゾーンに加えておく(デフォルトでIEの統合Windows認証がローカル・イントラネット・ゾーンに対してのみ有効なため)。
Outlook Web App(https://outlook.com/owa/office365.com)へアクセスするとOffice 365のサインイン画面が表示されるので、ログインIDを「<ユーザー名>@<ドメイン名>」形式で入力する。するとパスワード入力欄がオフになる代わりにAD FS 2.0でのログイン用のリンクが表示される。
Outlook Web Appへのサインインこれは社内において、Office 365のhttps://outlook.com/owa/office365.comをIEで開いたところ。
(1)ログインIDを「<ユーザー名>@<ドメイン名>」の形式で入力する。
(2)パスワードは入力する必要はない(入力できなくなる)。
(3)これをクリックしてサインインする。
表示されたリンクをクリックするとOffice 365へのサインインが始まる。正常にサインインが完了すると、Outlook Web Appの画面が現れる。
●社内PCのOutlook 2010からアクセス
デスクトップ・アプリケーションを利用する場合、あらかじめアプリケーション上に社内ADのIDとパスワードを設定しておくことでOffice 365上のサービスを利用できる。一般的なWebベースのシングル・サインオンと比較すると、あるアプリケーションで認証された結果をほかのアプリケーションに引き継ぐ、という意味でのユーザー体験としてのシングル・サインオンではなく、単に認証システムが単一である、という意味でのシングル・サインオンである点が異なっている。これはWebブラウザと異なりデスクトップ・アプリケーションでは、複数のアプリケーション間で共有できるリソース(Cookieやセッション情報など)の形態が標準化されておらず、認証結果を引き継げないためである。
| アプリケーション形態 | ユーザー体験 | 認証システム |
|---|---|---|
| Webアプリケーション | 同一のブラウザ・セッション上ではWebアプリケーションへのログインが引き継がれる | 個別システムではなく単一のシステム(例:Active Directory) |
| デスクトップ・アプリケーション | アプリケーション単位で認証を行う必要がある | 個別システムではなく単一のシステム(例:Active Directory) |
| アプリケーション形態とシングル・サインオン | ||
なお、通常のOutlookではオンライン・サービスでの認証を行うために必要なMicrosoft Online Serviceサインイン・アシスタントが導入されていない。いったんWebブラウザでOffice 365のポータル・ホームへアクセスし、そこからダウンロードできるMicrosoft Office Professional Plusをインストールして利用する。
Microsoft Online Servicesサインイン・アシスタントのインストールOffice 365のポータルからダウンロードしたOffice Professional Plusをインストールすると、Microsoft Online Servicesサインイン・アシスタントがインストールされる。
あとは通常のOutlookと同様にExchangeのアカウントを設定する。
あとは通常のOutlook 2010と同様に利用できる。
Outlook 2010によるOffice 365へのアクセス社内からOutlook 2010でOffice 365にアクセスし、メール(上)と予定表(下)を開いたところ。通常のOutlook 2010と同様に利用できる。
Exchange Online用DNSレコードは社内と社外ともに設定する
Office 365のセットアップ時にExchange Online用に設定したDNSレコード(autodiscover)は、社内ドメインからも検索が可能な状態となっている必要がある。社内と社外で同一の名前空間を利用しているネットワーク環境において、その名前空間を社内用と社外用にそれぞれ保持している場合は、両方のゾーンにautodiscoverのレコードを登録しなければならない。未登録の場合はExchangeのアカウント設定に失敗することがあるので要注意だ。
また、Lync Online用DNSレコードについても同じことが当てはまる。
●社内PCのLync 2010からアクセス
続いて社内PCにインストールされたLync 2010クライアントからOffice 365のLync Onlineへ接続する。Lync Onlineを利用すると、場所やデバイスを問わずにインスタント・メッセージやボイス・メールなどを送受信できる。
Lync 2010クライアントの起動後、サインイン・アドレスを入力して[サインイン]ボタンをクリックすると、パスワード入力を求められることなくLync Onlineに接続され、そのまま利用できる。なお、前述のコラムのとおり、Exchange Onlineと同様に社内PCからもDNS上に設定したLync Online関連のレコードへアクセスできるようにする必要があるので注意したい。
以上が、社内のADドメインに参加しているPCからOffice 365/AD FS 2.0環境を利用した際の動作である。
Copyright© Digital Advantage Corp. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。