実践「AD FS 2016」を使って「Office 365」とのSSO評価環境構築:Azure環境とAD DSの構築編:AD FSを使ったSaaSとのSSO環境構築(3)(1/6 ページ)
Windows Server 2016のAD FSを使って、SaaSとのSSO環境構築方法を紹介する本連載。今回は、AD FS 2016によるOffice 365とのSSO評価環境の構築方法として、Azure環境、Azure Active Directoryドメインサービス(AD DS)の構築方法を紹介します。
Windows Server 2016のAD FSを使ったSaaSとのSSO環境構築
メールやスケジュール、ドキュメント管理など、さまざまなシステムがSaaS(Software as a Service)になり、多くの企業が日常的に利用しています。このようなSaaSを利用する場合、ログインのアカウントとパスワードが既存システムと異なっていると、ユーザーの利便性が下がり、情報システム部門の管理負担も増大してしまいます。
そのため業務でのSaaS導入においては、既存のID管理システムで管理しているアカウントとパスワードによるログイン、つまりシングルサインオン(SSO)とアカウント/パスワードの一元管理ができることが望まれます。さらにセキュリティの観点からは「SaaSへのアクセスを特定の経路のみに限定する」「特定のデバイスのみに限定する」といったことも必要となります。
本連載では、このような問題を解決できる「Windows Server 2016 Active Directoryフェデレーションサービス」(AD FS 2016)の紹介と、代表的なSaaSである「Office 365」とのSSO環境構築手順を紹介しています。
前回は、企業内に構築されたActive Directoryに対して、「Windows Server 2016 Active Directoryフェデレーションサービス」(AD FS 2016)を構成してOffice 365とのシングルサインオン(SSO)を実現するハイブリッドID管理環境の構築に必要な前提知識や前提条件について説明しました。今回から、AD FS 2016によるOffice 365とのSSO評価環境の構築手順を説明します。
AD FS 2016の環境構築の準備
AD FS 2016を利用したOffice 365とのSSO環境構築を実際に行うときは、サーバをオンプレミス環境に構築します。しかし今回は、検証、評価が目的のため、Microsoftのクラウド基盤である「Microsoft Azure」(以下、Azure)上に、環境を構築します。構築を進める前に、前回の「AD FS 2016によるSSO評価環境構築の前提条件」「AD FS 2016によるSSO評価環境構築の必要条件」の各項目を確認してください。また以下の注意点も確認ください。
| No. | 必要なもの | サービス |
|---|---|---|
| 1 | 独自ドメイン | 任意のドメイン名を取得してください。既にドメインを持っている場合は、サブドメインを利用できます |
| 2 | SSL証明書 | 既定の商用証明機関から、以下のコモンネームで証明書を購入ください sts.<独自ドメイン> |
| 3 | Azure | 既存のAzureアカウントを利用するか、無料アカウントを利用してください |
| 4 | Office 365 | 既存のOffice 365アカウントを利用、もしくはOffice 365 Enterprise E3試用版を利用してください また以下の手順に従い、独自ドメインを設定してください ・ドメインとユーザーを Office 365 に追加する |
| 図表1 評価環境構築の必要条件に対する注意点 | ||
AD FS 2016によるSSO評価環境構築のフロー
では、図表2のフローに従って、評価環境を構築方法を紹介します。実際に本番環境を構築する場合は、オンプレミス環境に構築するので、「1.Azure環境の構築」「7.VPNの構築」の作業は必要ありません。また、本番環境では既存の「Active Directoryドメインサービス」(AD DS)を利用するため、「2.AD DSの構築」の作業も不要です。
AD FS 2016によるSSO評価環境構築の全体構成
図表3の評価環境を構築します。今回は、独自ドメインを「masuda.work」にしています。
今回使用する各設定
- 独自ドメイン:masuda.work
- ドメイン管理者アカウント:domainadmin
- ローカルユーザーアカウント:localadmin
・仮想マシンの作成
- 仮想ネットワーク:adfsResourceGroup
- リージョン:東日本
- ディスクの種類:HDD
- 仮想マシンサイズ:A2_v2 Standard
- アドレス空間サイズ:10.2.0.0/24
| サーバ | サーバ名 | ネットワークセキュリティグループ | ネットワーク インターフェイス | プライベートIPアドレス |
|---|---|---|---|---|
| AD DS | adds001 | adfsNsg01 | adds001434 | 10.2.0.4(静的) |
| AD CS | adcs001 | adfsNsg01 | adcs001282 | 10.2.0.5(静的) |
| AD FS | adfs001 | adfsNsg01 | adfs001335 | 10.2.0.6(静的) |
| WAP | wap001 | adfsNsg02 | wap001420 | 10.2.0.7(静的) |
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
SaaS導入で考えるべき2つのこと、「AD FS」で実現するハイブリッドID管理のメリットとは
業務で活用が増えている「SaaS」。そのまま使うのではなく、ID管理システムと連携することで、ユーザーの利便性は上がり、システム管理者は運用管理が容易になる。本連載では、AD FSを使ったSaaSとのシングルサインオン環境の構築方法を説明する。
Active DirectoryとAzure Active Directoryは何が違うのか?
Office 365のユーザー管理機能からスタートした「Azure Active Directory」。現在は、クラウドの認証基盤として、さまざまな機能を提供している。では、オンプレミスのActive DirectoryとAzure Active Directoryは何が違うのだろうか。
クラウド時代のセキュリティ担保にはActive Directoryフェデレーションサービスが必須となる?
Windows Server 2003 R2で初めて登場した「Active Directoryフェデレーションサービス(AD FS)」。Windows Server 2012 R2以降は、スマートフォンやタブレット、クラウドアプリのビジネス利用を促進する重要な役割を担うようになりました。