Windows Server 2016によるオンプレミスとクラウドサービス間でのSSO環境の構成：AD FSを使ったSaaSとのSSO環境構築（2）（2/3 ページ）

業務で活用が増えている「SaaS」。そのまま使うのではなく、ID管理システムと連携することで、ユーザーの利便性は上がり、システム管理者は運用管理が容易になる。本連載では、AD FSを使ったSaaSとのシングルサインオン環境の構築方法を説明する。

[増田裕正，富士ソフト株式会社]

Office 365へアクセスするときのAD FS 2016の認証フロー

　AD FS 2016の構築時や、障害が発生し問題を切り分けるときに、AD FS 2016とOffice 365のSSOを実現する認証の順序を理解しておくと、対応しやすくなります。

　認証フローは、社内からアクセスする場合と社外からアクセスする場合で異なります。それぞれのパターンで認証フローを説明します。

社内からOffice 365へアクセスするときのAD FS 2016の認証フロー

　社内からOffice 365へアクセスするときの認証フローは以下の通りです。

1. クライアントからOffice 365へアクセスする
2. クライアントへAD FSへのリダイレクト要求が返される
3. クライアントは、リダイレクト要求によりAD FSへアクセスする
4. クライアントへAD FSよりトークンが返される
5. クライアントは、トークンを使用して、Office 365へアクセスする

　「3.」「4.」の手順で、AD FSとAD DS間で認証が行われ、AD FSからクライアントへのトークン発行が許可されます。

図表3　社内からSaaSへアクセスする際のAD FS 2016認証フロー

社外からOffice 365へアクセスするときのAD FS 2016認証フロー

　社外からOffice 365へアクセスするときの認証フローは以下の通りです。

1. クライアントから、Office 365へアクセスする
2. クライアントへAD FSへのリダイレクト要求が返される
3. クライアントは、リダイレクト要求によりWAPへアクセスする
4. WAPは、AD FSへアクセスする
5. WAPへAD FSよりトークンが返される
6. クライアントへWAPよりトークンが返される
7. クライアントは、トークンを使用してOffice 365へアクセスする

　「4.」「5.」の手順において、AD FSとAD DS間で認証が行われ、AD FSからWAPへのトークン発行が許可されます。

図表4　社外からSaaSへアクセスする際のAD FS 2016認証フロー