[運用]
Windowsで構築する、クラウド・サービスと社内システムのSSO環境 第4回

2.Windows AzureとAD FS 2.0との連携(2)

Microsoft MVP
Identity Lifecycle Manager
伊藤忠テクノソリューションズ株式会社
富士榮 尚寛
2010/11/04
Page1 Page2

AD FS 2.0側の設定
 最後に、IdP側にデプロイしたRPを認識させる設定を行う。

 作成したプロジェクトのWebRoleのフォルダにFederationMetadata.xmlが生成されているので、これをコピーしてAD FS 2.0に読み込ませる。それにはAD FS 2.0の管理コンソールの左ペインから[信頼関係]を選び、右ペインの操作ウィンドウから[証明書利用者信頼の追加]をクリックする。「証明書利用者信頼の追加」ウィザードが起動したら、「データ ソースの選択」画面で次のようにFederationMetadata.xmlを指定する。

FederationMetadata.xmlの読み込みによるRPの作成
これはAD FS 2.0の管理コンソールから「証明書利用者信頼の追加」ウィザードを起動した後の2ステップ目の画面。
これを選ぶ。
作成したプロジェクトのWebRoleのフォルダからコピーしたFederationMetadata.xmlを指定する。

 FederationMetadata.xmlを読み込むことにより、ほとんどの設定項目は自動的に入力される。上記画面の後のウィザードでは、「表示名」を指定するだけで済む。

設定項目 設定値
証明書利用者についてのデータ取得方法 [証明書利用者についてのデータをファイルからインポートする]を選択
フェデレーション メタデータ ファイルの場所 コピーしたFederationMetadata.xmlのパス
表示名 sso2azure(任意)
証明書利用者信頼(RP)の追加ウィザードにおける設定項目

 ウィザードが完了したら、前回の記事で解説したGoogle Appsの場合と同様に要求規則(発行変換規則)の追加を行う。

設定項目 設定値
規則テンプレート [LDAP属性を要求として送信]を選択
要求規則名 sso2azure(任意)
属性ストア [Active Directory]を選択
LDAP属性 E-Mail-Addresses
出力方向の要求の種類 名前
要求規則の設定
Google Appsの場合と同様、要求規則の編集ダイアログで[発行変換規則]タブを選んで[規則の追加]ボタンをクリックする。「発行変換規則の追加」ウィザードが起動したら、このように各項目を設定して要求規則を完成させる。

実際の動作
 ここまでの作業が完了したら、実際にアプリケーションにアクセスしてみる。Internet Explorerから、先ほどのSTS設定時に指定したアプリケーションURIである

https://sso2azure.cloudapp.net

にアクセスすると、一瞬AD FS 2.0にリダイレクトされて統合Windows認証が行われた後、以下のようにアプリケーションの出力が表示されるはずだ。

Windows Azure上のアプリケーションへのサインオン
作成してWindows AzureにデプロイしたアプリケーションのURLをInternet Explorerで開いたところ。
アプリケーション作成時に配置したラベルの部分に、Active Directoryから取得されたログオン中のユーザーのメール・アドレス属性が表示された。

[PaaS]force.comとの認証連携

 force.comとの認証連携のための設定は、前回の記事で解説したSalesforce.com CRMの場合とほぼ同じなので、Salesforce.com CRMの設定の解説を参考にしていただきたい。アクセス方法も同じくIdPで先に認証を受けるタイプだ。

force.com側のシングル・サインオン設定画面

force.comへのサインオン画面
PCにログオンしていたActive Directoryアカウントに関連付けられているメール・アドレスで、force.comにログオンできたところ。

[IaaS]Amazon EC2との認証連携

 最後にIaaSであるAmazon EC2との認証連携についても触れておく。基本的にIaaSの場合は仮想OSがそのまま提供されるので、Windows ServerをセットアップしてからIISなどのアプリケーション・サーバとともにWIFをデプロイし、Windows Azureの場合と同様にアプリケーションを構築することでAD FS 2.0とのフェデレーション環境を構築できる。

 実際の構築手順については、詳細な手順書(ガイド)がAmazon Web Servicesのサイトに公開されているので、そちらを参照していただきたい。

 また、マイクロソフト技術にかかわるコンサルティングを行っているChappell & Associates Principalの代表のDavid Chappell氏も、Amazon EC2との認証連携のホワイト・ペーパーを記しており、参考になる。

おわりに

 本連載では、クラウド・コンピューティングやアイデンティティ管理の基礎から始まり、フェデレーションの要素技術やWindows製品におけるアイデンティティ・メタシステムの実装を経て、AD FS 2.0による各種クラウド・サービスとの連携方法について、それぞれ解説してきた。

 昨今「クラウド・コンピューティング」というキーワードが毎日のように耳に入るようになったが、企業への実際の導入はまだそれほど進んでいないように感じていると思う。しかし、Googleやマイクロソフトなどの各クラウド・サービスを提供しているプレーヤーは次々と新しいサービスを提供してきている。また、クラウドと安全に社内システムを連携するためのテクノロジも製品として市場にどんどん投入されてきている。

 サービスの利用形態はもちろん、それらの新しいセキュリティ・モデルやテクノロジは従来の社内に閉じた世界とは考え方や実装技術が異なるため、大きな違和感を覚えるかもしれない。

 しかし、実際にそれらのテクノロジの適用が始まる早い段階で概念を理解して実際にサービスに触れることで、来るべき潮流に上手く乗ることができると信じている。本連載がその一助になれば幸いだ。End of Article

 

 INDEX
  [運用]Windowsで構築する、クラウド・サービスと社内システムのSSO環境
  第1回 クラウド・コンピューティングとアイデンティティ管理の概要
    1.クラウド・コンピューティングの基礎と課題
    2.クラウドでのセキュリティ対策とアイデンティティ管理の役割
    3.クラウドがアイデンティティ管理システムにもたらす変化
 
  第2回 クラウド・コンピューティング時代の認証技術
    1.アイデンティティ連携(フェデレーション)の要素技術
    2.マイクロソフトのアイデンティティに関するビジョン
    3.アイデンティティ・メタシステムの実装
 
  第3回 クラウド・サービスと社内ADとのSSOを実現する(前)
    1.AD FS 2.0のセットアップ
    2.Google AppsとAD FS 2.0との連携
    3.Windows Live IDとAD FS 2.0との連携
    4.Salesforce.com CRMとAD FS 2.0との連携
 
  第4回 クラウド・サービスと社内ADとのSSOを実現する(後)
    1.Windows AzureとAD FS 2.0との連携(1)
  2.Windows AzureとAD FS 2.0との連携(2)

 Windows 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT