Windows Server 2016によるオンプレミスとクラウドサービス間でのSSO環境の構成:AD FSを使ったSaaSとのSSO環境構築(2)(3/3 ページ)
業務で活用が増えている「SaaS」。そのまま使うのではなく、ID管理システムと連携することで、ユーザーの利便性は上がり、システム管理者は運用管理が容易になる。本連載では、AD FSを使ったSaaSとのシングルサインオン環境の構築方法を説明する。
AD FS 2016によるSSO評価環境構築の前提条件
AD FS 2016を利用したOffice 365とのSSO環境構築を実際に行うときは、各サーバをオンプレミス環境に構築します。しかし、今回は検証/評価を目的としてクラウド上に環境を構築します。クラウド上にオンプレミス環境に相当する仮想ネットワークを構築し、同ネットワーク内に仮想マシンを配置、各サービスを構築します。
AD FS 2016によるSSO環境構築の前提条件
AD FS 2016によるSSO環境を構築するには、各サービスが前提条件を満たしている必要があります。特に実際に企業内でAD FS 2016を展開するには、既存環境であるAD DSのWindows Serverのバージョンや機能レベルが、前提条件を満たすように更新する必要があります。各サービスの前提条件は、以下の通りです。
No | 役割 | サービス | 前提条件 | 今回の評価環境 |
---|---|---|---|---|
1 | アカウント認証/管理 | AD DS | ・Windows Server 2008以上 ・機能レベル:Windows Server 2003以上 ※Windows Hello for Businessを利用する場合は以下 ・Windows Server 2016以上 ・機能レベル:Windows Server 2016以上 |
・Windows Server 2016 ・機能レベル:Windows Server 2016 |
2 | フェデレーション | AD FS | ・Windows Server 2012 R2以上 ※Windows Hello for Businessを利用する場合は、Windows Server 2016以上 |
・Window Server 2016 |
3 | リバースプロキシ | WAP | ・Windows Server 2012 R2以上 | ・Windows Server 2016 |
4 | ディレクトリ同期 | Azure AD Connect | ・Windows Server 2012 R2以上 | ・Windows Server 2016 |
5 | 証明書の発行/配布 | AD CS IIS |
・Windows Server 2008以上 ※実際は、AD CSについてはWindows Server 2003以上、IISについてはWindows Server 2000以上だが、これらは既にEOS(サポート終了)のため「Windows Server 2008以上」としている ※Windows Hello for Businessを利用する場合は、Windows Server 2012以上 |
・Windows Server 2016 |
6 | SaaS | Office 365 | ・独自ドメインの利用 | ・独自ドメインの利用 |
7 | SaaS ID管理 | Azure AD | ・Office 365に含まれる ※デバイスレジストレーションサービスを使ってデバイスを登録する場合は、Azure AD Premium P1以上 |
・Azure AD Premium P1 |
図表5 AD FS 2016を構成する各サービスとその条件 |
AD FS 2016によるSSO評価環境の概要
今回は、各サービスを構築するクラウド環境としてMicrosoftのクラウド基盤である「Microsoft Azure」(Azure)を利用します。評価環境構築に使用するAzureおよびOffice 365は、無料アカウントと無償試用版が用意されているため、これらを利用することも可能です。AzureおよびOffice 365の無料アカウントと無償試用版は以下から、登録できます。
本連載では、「Windows Hello for Business」の検証も行うため、「Windows 10」が搭載されたクライアントを使います。Azure上の仮想マシンでクライアントを構築して検証できますが、仮想マシンではWindows Hello for Businessで必要となる生体認証デバイスが使用できないため、今回は実機を利用します(※1)。
※1「Windows Hello for Business」の生体認証に関する手順を実施しない場合は、仮想マシンでも構築できます。
Windows 10クライアントは、Azure上の仮想ネットワークに接続し、同ネットワーク上のドメインに参加する必要があります。今回の手順では、「Azure VPN Gateway」を利用してWindows 10クライアントから仮想ネットワークに接続します。
今回構築する評価環境の構成は以下の通りです。
AD FS、WAPは、一般的に冗長構成にしますが、評価環境では、1台構成としています。
AD FS 2016によるSSO評価環境構築の必要条件
評価環境構築に必要なものは以下の通りです。評価環境を構築する前に用意してください。
No. | 必要なもの | 用途など |
---|---|---|
1 | 独自ドメイン | ・WAPに対して独自ドメインを付与する。独自ドメインを持っていない場合は、ドメイン取得サービスでドメインを取得する |
2 | SSL証明書 | ・AD FSおよびWAPに対してSSL証明書をインストールする。商用証明機関(※2)から発行された、WAPの独自ドメインに対応しているSSL証明書を用意する必要がある ・AD CSから発行したSSL証明書も利用できるが、スタンドアロンアプリケーションが認証できないなどの制限がある |
3 | Azure | ・Azure上にオンプレミス環境に見立てた仮想ネットワークを構成する ・各サービスを仮想マシンとして構築する ・AzureパブリックIPアドレスにより、WAPにグローバルIPを付与する ・Windows Hello for Businessを利用するには、Azure AD経由でAD DSへデバイスを登録する必要があるため、Office 365のAzure ADをAzure AD Premium P1にアップグレードする(※3) |
4 | Office 365 | ・AD FS 2016との連携先としてOffice 365 Enterpriseを使用する。今回紹介する手順では、Office 365 Enterprise E3を利用する |
5 | Windows 10 PC | ・AD DSドメイン参加用のクライアントとして利用する ・Windows Hello for Businessを利用するには、「Windows 10 Proのバージョン1703」(Creators Update)以上が必要 |
6 | 生体認証デバイス | ・生体認証に利用する。Windows Hello対応の指紋リーダーや顔認証カメラなどを用意する必要がある |
7 | iPhone/iPad、Android | ・モバイルデバイスからのアクセスに利用する |
※2 商用証明機関は、Office 365がサポートしているものから選択する必要がある。下記URLの一覧内にあるものから選択する。 ・https://technet.microsoft.com/en-us/library/ee332350(v=exchg.150).aspx ※3 Azure AD経由でのデバイス登録を行わない場合は、Office 365標準のAzure ADを利用できる。 |
||
図表7 評価環境構築に必要なもの |
次回は
今回は、AD FS 2016でSSOを実現するための前提知識や前提条件について説明しました。次回は、評価環境をAzure上に構築する手順を説明します。
著者プロフィール
増田裕正(Hiromasa Masuda)
富士ソフトMS事業部 フェロー
Microsoft関連の技術プロジェクトに数多く参画し、システムアーキテクトとして開発からインフラまで広範囲の技術領域に対応。日々進化するMicrosoft新技術領域において、最新技術の調査・検証を実施し、新ビジネス創出の推進に従事している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- SaaS導入で考えるべき2つのこと、「AD FS」で実現するハイブリッドID管理のメリットとは
業務で活用が増えている「SaaS」。そのまま使うのではなく、ID管理システムと連携することで、ユーザーの利便性は上がり、システム管理者は運用管理が容易になる。本連載では、AD FSを使ったSaaSとのシングルサインオン環境の構築方法を説明する。 - Active DirectoryとAzure Active Directoryは何が違うのか?
Office 365のユーザー管理機能からスタートした「Azure Active Directory」。現在は、クラウドの認証基盤として、さまざまな機能を提供している。では、オンプレミスのActive DirectoryとAzure Active Directoryは何が違うのだろうか。 - クラウド時代のセキュリティ担保にはActive Directoryフェデレーションサービスが必須となる?
Windows Server 2003 R2で初めて登場した「Active Directoryフェデレーションサービス(AD FS)」。Windows Server 2012 R2以降は、スマートフォンやタブレット、クラウドアプリのビジネス利用を促進する重要な役割を担うようになりました。