検索
連載

Windows Server 2016によるオンプレミスとクラウドサービス間でのSSO環境の構成AD FSを使ったSaaSとのSSO環境構築(2)(3/3 ページ)

業務で活用が増えている「SaaS」。そのまま使うのではなく、ID管理システムと連携することで、ユーザーの利便性は上がり、システム管理者は運用管理が容易になる。本連載では、AD FSを使ったSaaSとのシングルサインオン環境の構築方法を説明する。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ |       

AD FS 2016によるSSO評価環境構築の前提条件

 AD FS 2016を利用したOffice 365とのSSO環境構築を実際に行うときは、各サーバをオンプレミス環境に構築します。しかし、今回は検証/評価を目的としてクラウド上に環境を構築します。クラウド上にオンプレミス環境に相当する仮想ネットワークを構築し、同ネットワーク内に仮想マシンを配置、各サービスを構築します。

AD FS 2016によるSSO環境構築の前提条件

 AD FS 2016によるSSO環境を構築するには、各サービスが前提条件を満たしている必要があります。特に実際に企業内でAD FS 2016を展開するには、既存環境であるAD DSのWindows Serverのバージョンや機能レベルが、前提条件を満たすように更新する必要があります。各サービスの前提条件は、以下の通りです。

No 役割 サービス 前提条件 今回の評価環境
1 アカウント認証/管理 AD DS ・Windows Server 2008以上
・機能レベル:Windows Server 2003以上
※Windows Hello for Businessを利用する場合は以下
・Windows Server 2016以上
・機能レベル:Windows Server 2016以上
・Windows Server 2016
・機能レベル:Windows Server 2016
2 フェデレーション AD FS ・Windows Server 2012 R2以上
※Windows Hello for Businessを利用する場合は、Windows Server 2016以上
・Window Server 2016
3 リバースプロキシ WAP ・Windows Server 2012 R2以上 ・Windows Server 2016
4 ディレクトリ同期 Azure AD Connect ・Windows Server 2012 R2以上 ・Windows Server 2016
5 証明書の発行/配布 AD CS
IIS
・Windows Server 2008以上
※実際は、AD CSについてはWindows Server 2003以上、IISについてはWindows Server 2000以上だが、これらは既にEOS(サポート終了)のため「Windows Server 2008以上」としている
※Windows Hello for Businessを利用する場合は、Windows Server 2012以上

・Windows Server 2016
6 SaaS Office 365 ・独自ドメインの利用 ・独自ドメインの利用
7 SaaS ID管理 Azure AD ・Office 365に含まれる
※デバイスレジストレーションサービスを使ってデバイスを登録する場合は、Azure AD Premium P1以上
・Azure AD Premium P1
図表5 AD FS 2016を構成する各サービスとその条件

AD FS 2016によるSSO評価環境の概要

 今回は、各サービスを構築するクラウド環境としてMicrosoftのクラウド基盤である「Microsoft Azure」(Azure)を利用します。評価環境構築に使用するAzureおよびOffice 365は、無料アカウントと無償試用版が用意されているため、これらを利用することも可能です。AzureおよびOffice 365の無料アカウントと無償試用版は以下から、登録できます。

 本連載では、「Windows Hello for Business」の検証も行うため、「Windows 10」が搭載されたクライアントを使います。Azure上の仮想マシンでクライアントを構築して検証できますが、仮想マシンではWindows Hello for Businessで必要となる生体認証デバイスが使用できないため、今回は実機を利用します(※1)。

※1「Windows Hello for Business」の生体認証に関する手順を実施しない場合は、仮想マシンでも構築できます。

 Windows 10クライアントは、Azure上の仮想ネットワークに接続し、同ネットワーク上のドメインに参加する必要があります。今回の手順では、「Azure VPN Gateway」を利用してWindows 10クライアントから仮想ネットワークに接続します。

 今回構築する評価環境の構成は以下の通りです。


図表6 AD FS 2016評価環境のネットワーク

 AD FS、WAPは、一般的に冗長構成にしますが、評価環境では、1台構成としています。

AD FS 2016によるSSO評価環境構築の必要条件

 評価環境構築に必要なものは以下の通りです。評価環境を構築する前に用意してください。

No. 必要なもの 用途など
1 独自ドメイン ・WAPに対して独自ドメインを付与する。独自ドメインを持っていない場合は、ドメイン取得サービスでドメインを取得する
2 SSL証明書 ・AD FSおよびWAPに対してSSL証明書をインストールする。商用証明機関(※2)から発行された、WAPの独自ドメインに対応しているSSL証明書を用意する必要がある
・AD CSから発行したSSL証明書も利用できるが、スタンドアロンアプリケーションが認証できないなどの制限がある
3 Azure ・Azure上にオンプレミス環境に見立てた仮想ネットワークを構成する
・各サービスを仮想マシンとして構築する
・AzureパブリックIPアドレスにより、WAPにグローバルIPを付与する
・Windows Hello for Businessを利用するには、Azure AD経由でAD DSへデバイスを登録する必要があるため、Office 365のAzure ADをAzure AD Premium P1にアップグレードする(※3)
4 Office 365 ・AD FS 2016との連携先としてOffice 365 Enterpriseを使用する。今回紹介する手順では、Office 365 Enterprise E3を利用する
5 Windows 10 PC ・AD DSドメイン参加用のクライアントとして利用する
・Windows Hello for Businessを利用するには、「Windows 10 Proのバージョン1703」(Creators Update)以上が必要
6 生体認証デバイス ・生体認証に利用する。Windows Hello対応の指紋リーダーや顔認証カメラなどを用意する必要がある
7 iPhone/iPad、Android ・モバイルデバイスからのアクセスに利用する
※2 商用証明機関は、Office 365がサポートしているものから選択する必要がある。下記URLの一覧内にあるものから選択する。
https://technet.microsoft.com/en-us/library/ee332350(v=exchg.150).aspx
※3 Azure AD経由でのデバイス登録を行わない場合は、Office 365標準のAzure ADを利用できる。
図表7 評価環境構築に必要なもの

次回は

 今回は、AD FS 2016でSSOを実現するための前提知識や前提条件について説明しました。次回は、評価環境をAzure上に構築する手順を説明します。

著者プロフィール

増田裕正(Hiromasa Masuda)

富士ソフトMS事業部 フェロー

Microsoft関連の技術プロジェクトに数多く参画し、システムアーキテクトとして開発からインフラまで広範囲の技術領域に対応。日々進化するMicrosoft新技術領域において、最新技術の調査・検証を実施し、新ビジネス創出の推進に従事している。


Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       
ページトップに戻る