| [運用] Windowsで構築する、クラウド・サービスと社内システムのSSO環境 第3回 3.Windows Live IDとAD FS 2.0との連携 Microsoft MVPIdentity Lifecycle Manager 伊藤忠テクノソリューションズ株式会社 富士榮 尚寛 2010/09/22 |
 |
|
|
|
[SaaS]Windows Live IDとの認証連携
次は同じくSaaSであるマイクロソフトのオンライン・サービスとの連携である。現状のマイクロソフトのオンライン・サービスのアイデンティティ基盤はWindows Live IDなので、Windows Live IDのアカウントとのフェデレーションを行う形で環境を構築する。そのためにマイクロソフトがオンライン・サービス側に用意しているのがMicrosoft Federation Gateway(MFG)である。今回はMFGとAD FS 2.0の間でフェデレーション関係の構築を行う。
■自動設定ツールによる設定
構築する環境はGoogle Appsの場合とほぼ同様だが、フェデレーション設定を自動化するツール(Federation Utility for Microsoft Federation Gateway)が用意されているので設定作業自体は非常に簡単だ。このツールは以下のサイトよりダウンロードできる(ただし事前に登録が必要)。
- Federation Utility for MFG(32bit版)(マイクロソフトConnectサイト)
- Federation Utility for MFG(64bit版)(マイクロソフトConnectサイト)
 |
|||
| Federation Utility for Microsoft Federation Gateway | |||
| Windows Live IDとAD FS 2.0とのフェデレーション設定を自動化できるツール。 | |||
|
使い方は非常に簡単で、Federation Utility for MFGツールを起動して[Establish Trust]ボタン(または[Re-establish Trust]ボタン)をクリックするだけなのだが、注意すべき点としてMFGがIdPを信頼する必要がある。そのためには外部向けに公開されたドメイン上に構築されたAD FS 2.0に「MFGが信頼する証明機関が発行した証明書」をインストールしておく必要がある。MFGが信頼する証明機関は以下のページの中ほどの「Obtain a Domain Proof Certificate」の項に一覧が記載されているので、そのいずれかから証明書を取得していただきたい。
- Microsoft Federation Gateway(Microsoft MSDN)
Federation Utility for MFGツールを使った信頼が成功すると自動的に証明書利用者信頼の設定が出来上がる。
 |
| 自動的に作成された証明書利用者信頼 |
同様に要求規則についても自動的に設定される。
 |
|||
| 自動的に設定された要求規則 | |||
|
■Windows Live ID連携の実際の動作
ここまで設定ができたら実際にWindows Liveのサービスにアクセスしてみる。
「http://account.live.com」にアクセスし、Windows Live IDの入力欄にドメイン・ユーザーのIDを「user@mydomain.com」という形で入力する。その状態でフォーカスを移すと自動的にサインイン先としてローカルのAD FS 2.0が指定される。
 |
||||||
| Windows Live IDのサインイン・ページ | ||||||
|
サインインをクリックするとAD FS 2.0にリダイレクトされるので認証を行う。同一ドメイン内からのアクセスであればWindows統合認証が行われ、シングル・サインオンされる。
 |
| AD FS 2.0での認証 |
| ドメイン・ユーザー名とパスワードを入力して認証する。 |
認証が成功するとWindows Liveサービスに戻る。
 |
| Windows Liveサービスへのサインオン |
検証を行った後にMFGとの信頼を切断する際は「FedUtilMFG.exe /Terminate」というコマンドを使う。ただし、一度切断してしまうと再度同じWindows Live IDではアクセスできなくなる可能性がある。そのため安易に自社ドメインで検証するのは避けた方がよいだろう。
 |
 |
| INDEX | ||
| [運用]Windowsで構築する、クラウド・サービスと社内システムのSSO環境 | ||
| 第1回 クラウド・コンピューティングとアイデンティティ管理の概要 | ||
| 1.クラウド・コンピューティングの基礎と課題 | ||
| 2.クラウドでのセキュリティ対策とアイデンティティ管理の役割 | ||
| 3.クラウドがアイデンティティ管理システムにもたらす変化 | ||
| 第2回 クラウド・コンピューティング時代の認証技術 | ||
| 1.アイデンティティ連携(フェデレーション)の要素技術 | ||
| 2.マイクロソフトのアイデンティティに関するビジョン | ||
| 3.アイデンティティ・メタシステムの実装 | ||
| 第3回 クラウド・サービスと社内ADとのSSOを実現する(前) | ||
| 1.AD FS 2.0のセットアップ | ||
| 2.Google AppsとAD FS 2.0との連携 | ||
 |
3.Windows Live IDとAD FS 2.0との連携 | |
| 4.Salesforce.com CRMとAD FS 2.0との連携 | ||
| 第4回 クラウド・サービスと社内ADとのSSOを実現する(後) | ||
| 1.Windows AzureとAD FS 2.0との連携(1) | ||
| 2.Windows AzureとAD FS 2.0との連携(2) | ||
 |
||
 |
Windows 運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
