Windows Server 2016によるオンプレミスとクラウドサービス間でのSSO環境の構成：AD FSを使ったSaaSとのSSO環境構築（2）（3/3 ページ）

[増田裕正，富士ソフト株式会社]

AD FS 2016によるSSO評価環境構築の前提条件

　AD FS 2016を利用したOffice 365とのSSO環境構築を実際に行うときは、各サーバをオンプレミス環境に構築します。しかし、今回は検証／評価を目的としてクラウド上に環境を構築します。クラウド上にオンプレミス環境に相当する仮想ネットワークを構築し、同ネットワーク内に仮想マシンを配置、各サービスを構築します。

AD FS 2016によるSSO環境構築の前提条件

　AD FS 2016によるSSO環境を構築するには、各サービスが前提条件を満たしている必要があります。特に実際に企業内でAD FS 2016を展開するには、既存環境であるAD DSのWindows Serverのバージョンや機能レベルが、前提条件を満たすように更新する必要があります。各サービスの前提条件は、以下の通りです。

No	役割	サービス	前提条件	今回の評価環境
1	アカウント認証／管理	AD DS	・Windows Server 2008以上 ・機能レベル：Windows Server 2003以上 ※Windows Hello for Businessを利用する場合は以下 ・Windows Server 2016以上 ・機能レベル：Windows Server 2016以上	・Windows Server 2016 ・機能レベル：Windows Server 2016
2	フェデレーション	AD FS	・Windows Server 2012 R2以上 ※Windows Hello for Businessを利用する場合は、Windows Server 2016以上	・Window Server 2016
3	リバースプロキシ	WAP	・Windows Server 2012 R2以上	・Windows Server 2016
4	ディレクトリ同期	Azure AD Connect	・Windows Server 2012 R2以上	・Windows Server 2016
5	証明書の発行／配布	AD CS IIS	・Windows Server 2008以上 ※実際は、AD CSについてはWindows Server 2003以上、IISについてはWindows Server 2000以上だが、これらは既にEOS（サポート終了）のため「Windows Server 2008以上」としている ※Windows Hello for Businessを利用する場合は、Windows Server 2012以上	・Windows Server 2016
6	SaaS	Office 365	・独自ドメインの利用	・独自ドメインの利用
7	SaaS ID管理	Azure AD	・Office 365に含まれる ※デバイスレジストレーションサービスを使ってデバイスを登録する場合は、Azure AD Premium P1以上	・Azure AD Premium P1
図表5　AD FS 2016を構成する各サービスとその条件

AD FS 2016によるSSO評価環境の概要

　今回は、各サービスを構築するクラウド環境としてMicrosoftのクラウド基盤である「Microsoft Azure」（Azure）を利用します。評価環境構築に使用するAzureおよびOffice 365は、無料アカウントと無償試用版が用意されているため、これらを利用することも可能です。AzureおよびOffice 365の無料アカウントと無償試用版は以下から、登録できます。

• Microsoft Azure無料アカウント
• Office 365 Enterprise E3試用版

　本連載では、「Windows Hello for Business」の検証も行うため、「Windows 10」が搭載されたクライアントを使います。Azure上の仮想マシンでクライアントを構築して検証できますが、仮想マシンではWindows Hello for Businessで必要となる生体認証デバイスが使用できないため、今回は実機を利用します（※1）。

※1「Windows Hello for Business」の生体認証に関する手順を実施しない場合は、仮想マシンでも構築できます。

　Windows 10クライアントは、Azure上の仮想ネットワークに接続し、同ネットワーク上のドメインに参加する必要があります。今回の手順では、「Azure VPN Gateway」を利用してWindows 10クライアントから仮想ネットワークに接続します。

　今回構築する評価環境の構成は以下の通りです。

図表6　AD FS 2016評価環境のネットワーク

　AD FS、WAPは、一般的に冗長構成にしますが、評価環境では、1台構成としています。

AD FS 2016によるSSO評価環境構築の必要条件

　評価環境構築に必要なものは以下の通りです。評価環境を構築する前に用意してください。

No.	必要なもの	用途など
1	独自ドメイン	・WAPに対して独自ドメインを付与する。独自ドメインを持っていない場合は、ドメイン取得サービスでドメインを取得する
2	SSL証明書	・AD FSおよびWAPに対してSSL証明書をインストールする。商用証明機関（※2）から発行された、WAPの独自ドメインに対応しているSSL証明書を用意する必要がある ・AD CSから発行したSSL証明書も利用できるが、スタンドアロンアプリケーションが認証できないなどの制限がある
3	Azure	・Azure上にオンプレミス環境に見立てた仮想ネットワークを構成する ・各サービスを仮想マシンとして構築する ・AzureパブリックIPアドレスにより、WAPにグローバルIPを付与する ・Windows Hello for Businessを利用するには、Azure AD経由でAD DSへデバイスを登録する必要があるため、Office 365のAzure ADをAzure AD Premium P1にアップグレードする（※3）
4	Office 365	・AD FS 2016との連携先としてOffice 365 Enterpriseを使用する。今回紹介する手順では、Office 365 Enterprise E3を利用する
5	Windows 10 PC	・AD DSドメイン参加用のクライアントとして利用する ・Windows Hello for Businessを利用するには、「Windows 10 Proのバージョン1703」（Creators Update）以上が必要
6	生体認証デバイス	・生体認証に利用する。Windows Hello対応の指紋リーダーや顔認証カメラなどを用意する必要がある
7	iPhone／iPad、Android	・モバイルデバイスからのアクセスに利用する
※2　商用証明機関は、Office 365がサポートしているものから選択する必要がある。下記URLの一覧内にあるものから選択する。 ・https://technet.microsoft.com/en-us/library/ee332350(v=exchg.150).aspx ※3　Azure AD経由でのデバイス登録を行わない場合は、Office 365標準のAzure ADを利用できる。
図表7　評価環境構築に必要なもの

次回は

　今回は、AD FS 2016でSSOを実現するための前提知識や前提条件について説明しました。次回は、評価環境をAzure上に構築する手順を説明します。

著者プロフィール

増田裕正（Hiromasa Masuda）

富士ソフトMS事業部 フェロー

Microsoft関連の技術プロジェクトに数多く参画し、システムアーキテクトとして開発からインフラまで広範囲の技術領域に対応。日々進化するMicrosoft新技術領域において、最新技術の調査・検証を実施し、新ビジネス創出の推進に従事している。