第3回 Office 365とのアイデンティティ基盤連携を実現する(後):クラウド・サービスと社内システムとのID連携 最新トレンド(1/2 ページ)
前回構築したOffice 365と社内Active Directoryとのアイデンティティ連携環境で、実際に社内あるいは社外からPC/スマートフォンでアクセスしてシングル・サインオンがどのように動作するのか確認する。
第2回ではAD FS 2.0およびディレクトリ同期ツールを利用したOffice 365と社内Active Directory(AD)のアイデンティティ(ID)連携環境の構築方法を解説した。今回は構築した環境を使って実際のID連携動作を確認する。
今回、Office 365への接続を確認するために以下のパターンの接続環境を用意した。ADのリソースに直接アクセスできる社内ネットワークと、それができない社外では挙動が異なるため、それぞれ別々に確認する。
ネットワーク | デバイス | クライアント | |
---|---|---|---|
社内から接続 | PC | Webブラウザ(Outlook Web App) | |
Outlook 2010 | |||
Lync 2010 | |||
社外から接続 | PC | Webブラウザ(Outlook Web App) | |
Outlook 2010 | |||
Lync 2010 | |||
スマートフォン (Windows Phone 7.5、 Android OS 4.0) |
Outlook(Exchange ActiveSync) | ||
カレンダー | |||
Lync 2010 Mobile | |||
動作確認パターン 社内からと社外からの接続とを区別しているのは、ADに直接アクセスできる社内と、それができない社外では挙動が異なるためである。「Lync」とは、インスタント・メッセージやボイス・メールなどの送受信ができるマイクロソフトのサービス/製品である。 |
また、クラウド・サービスを利用する際の大きなメリットの1つである、いつでもどこからでもアクセスが可能である、という点を享受するためには、スマートフォンなどの非PC端末でもアクセスできることが重要である。そこで、Android OS 4.0またはWindows Phone 7.5を搭載したスマートフォンからの接続についても確認する。
社内からOffice 365へのアクセスの確認
まずは社内設置のWindows PCからOffice 365に接続する際の動作を確認しよう。
●社内PCのWebブラウザからアクセス
まず、ADドメインに参加しているPCのWebブラウザ(Internet Explorer:IE)からOutlook Web Appを使ってExchange Onlineへアクセスする。
その前に、WindowsへのログオンからOffice 365へシングル・サインオンするために、あらかじめAD FS 2.0サーバへ統合Windows認証でログオンできるようにしておく必要がある。具体的にはIEのセキュリティ設定でAD FS 2.0サーバをローカル・イントラネット・ゾーンに加えておく(デフォルトでIEの統合Windows認証がローカル・イントラネット・ゾーンに対してのみ有効なため)。
Outlook Web App(https://outlook.com/owa/office365.com)へアクセスするとOffice 365のサインイン画面が表示されるので、ログインIDを「<ユーザー名>@<ドメイン名>」形式で入力する。するとパスワード入力欄がオフになる代わりにAD FS 2.0でのログイン用のリンクが表示される。
Outlook Web Appへのサインイン
これは社内において、Office 365のhttps://outlook.com/owa/office365.comをIEで開いたところ。
(1)ログインIDを「<ユーザー名>@<ドメイン名>」の形式で入力する。
(2)パスワードは入力する必要はない(入力できなくなる)。
(3)これをクリックしてサインインする。
表示されたリンクをクリックするとOffice 365へのサインインが始まる。正常にサインインが完了すると、Outlook Web Appの画面が現れる。
●社内PCのOutlook 2010からアクセス
デスクトップ・アプリケーションを利用する場合、あらかじめアプリケーション上に社内ADのIDとパスワードを設定しておくことでOffice 365上のサービスを利用できる。一般的なWebベースのシングル・サインオンと比較すると、あるアプリケーションで認証された結果をほかのアプリケーションに引き継ぐ、という意味でのユーザー体験としてのシングル・サインオンではなく、単に認証システムが単一である、という意味でのシングル・サインオンである点が異なっている。これはWebブラウザと異なりデスクトップ・アプリケーションでは、複数のアプリケーション間で共有できるリソース(Cookieやセッション情報など)の形態が標準化されておらず、認証結果を引き継げないためである。
アプリケーション形態 | ユーザー体験 | 認証システム |
---|---|---|
Webアプリケーション | 同一のブラウザ・セッション上ではWebアプリケーションへのログインが引き継がれる | 個別システムではなく単一のシステム(例:Active Directory) |
デスクトップ・アプリケーション | アプリケーション単位で認証を行う必要がある | 個別システムではなく単一のシステム(例:Active Directory) |
アプリケーション形態とシングル・サインオン |
なお、通常のOutlookではオンライン・サービスでの認証を行うために必要なMicrosoft Online Serviceサインイン・アシスタントが導入されていない。いったんWebブラウザでOffice 365のポータル・ホームへアクセスし、そこからダウンロードできるMicrosoft Office Professional Plusをインストールして利用する。
Microsoft Online Servicesサインイン・アシスタントのインストール
Office 365のポータルからダウンロードしたOffice Professional Plusをインストールすると、Microsoft Online Servicesサインイン・アシスタントがインストールされる。
あとは通常のOutlookと同様にExchangeのアカウントを設定する。
あとは通常のOutlook 2010と同様に利用できる。
Outlook 2010によるOffice 365へのアクセス
社内からOutlook 2010でOffice 365にアクセスし、メール(上)と予定表(下)を開いたところ。通常のOutlook 2010と同様に利用できる。
Exchange Online用DNSレコードは社内と社外ともに設定する
Office 365のセットアップ時にExchange Online用に設定したDNSレコード(autodiscover)は、社内ドメインからも検索が可能な状態となっている必要がある。社内と社外で同一の名前空間を利用しているネットワーク環境において、その名前空間を社内用と社外用にそれぞれ保持している場合は、両方のゾーンにautodiscoverのレコードを登録しなければならない。未登録の場合はExchangeのアカウント設定に失敗することがあるので要注意だ。
また、Lync Online用DNSレコードについても同じことが当てはまる。
●社内PCのLync 2010からアクセス
続いて社内PCにインストールされたLync 2010クライアントからOffice 365のLync Onlineへ接続する。Lync Onlineを利用すると、場所やデバイスを問わずにインスタント・メッセージやボイス・メールなどを送受信できる。
Lync 2010クライアントの起動後、サインイン・アドレスを入力して[サインイン]ボタンをクリックすると、パスワード入力を求められることなくLync Onlineに接続され、そのまま利用できる。なお、前述のコラムのとおり、Exchange Onlineと同様に社内PCからもDNS上に設定したLync Online関連のレコードへアクセスできるようにする必要があるので注意したい。
以上が、社内のADドメインに参加しているPCからOffice 365/AD FS 2.0環境を利用した際の動作である。
Copyright© Digital Advantage Corp. All Rights Reserved.