シングルサインオンとは一度のID・パスワード認証で複数の独立したシステムで認証が共有され、各システムへのログインの手間を削減する技術です。1日のうちに複数の異なるシステムにそれぞれログイン/ログアウトするのはかなりの手間です。シングルサインオンはそうした手間を排除して、日常的な業務時間削減に貢献しています。
最近では組織規模に関わらずクラウドを導入し、オンプレミスとクラウドが混同したシステム環境を構築している企業が少なくありません。そうした際に、ひとつひとつ手作業でログイン/ログアウトを行っていると日に10分以上時間をロスしていることも。
一方でシングルサインオンを導入している場合なら、その時間をほとんど削減できるため年間で見るとかなり大幅な作業時間短縮になっています。
今回ご紹介するのはそんなシングルサインオンをOffice 365で使用する方法です。個シングルサインオン導入が検討段階にある場合、本稿をぜひ参考にしてください。
Office 365でシングルサインインする方法
Office 365でシングルサインオンを実現する方法は2つあります。一つはADFS(Active Directory Federation Service)サーバーを構築してシングルサインオンを実現する方法と、Azure AD(Active Directory)のシングルサインオン機能を使用することです。ここでは後者の方法をご紹介します。
シングルサインオンはAzure AD Connectの比較的新しい機能で、パスワード同期なまたはパススルー認証にて組み合わせることができます。Azure AD Connectの機能要件は次の通りです。
- ドメインに参加したコンピューターを利用している
- 企業のワイヤードまたはワイヤレス ネットワーク上や、VPN 接続などのリモート アクセス接続経由で、ドメイン コントローラーに直接接続している
- ブラウザーのイントラネット ゾーンの一部としてクラウドに Kerberos エンドポイントを定義している
サポートされているクライアントは次の通りです。
- OS : Windows 7, Windows 8, Windows 8.1, Windows 10
- ブラウザー : Internet Explorer, Chrome, Firefox
- Office : Office 2013, Office 2016 (ADAL 有効化)
これらの環境が整っていないシングルサインオンを構築できない可能性があるので注意してくだし。まずは管理センターにてクラウド専用のグローバル管理者アカウントを作成しましょう。ちなみに新たに管理者を作る場合は「Azure サブスクリプション管理者を追加または変更する」をごご覧ください。
まずAzure AD Connectを実行するためのWindows Server 2012 R2以降を実行するサーバーを特定します。このサーバーをパスワード検証が必要なユーザーと同じActive Directoryフォレストに追加します。最新バージョンのAzure AD Connectを前の手順で特定したサーバーにインストールしましょう。Azure AD Connectがすでに実行されている場合は、バージョンが1.1.644.0以降であることを確認しましょう。
次にWindows Server 2012 R2以降が実行されている追加サーバーを特定します。このサーバーはスタンドアロンの認証エージェントを実行できます。認証エージェントのバージョンは1.5.193.0であることを確認しましょう。
サーバーとAzure ADの間にファイアウォールがある場合は次の項目を構成します。
- 認証エージェントが次のポートを使用してAzure ADに送信リクエストを送れるようにする
- 80ポート…SSL証明書を検証する際に証明書失効リスト(CRL)ダウンロードする
- 443ポート…サービスを失用したすべての送信方向の通信を処理する
.msappproxy.net と .servicebus.windows.net、 login.windows.net と login.microsoftonline.comをファイアウォールで通信可能に設定する
証明書の検証のためにURLのmscrl.microsoft.com:80、crl.microsoft.com:80、ocsp.msocsp.com:80、www.microsoftのブロックを解除する。
以上が完了したらExchange PowerShellを起動して次のコマンドを実行します。
≪Get-OrganizationConfig | fl per≫
PerTenantSwitchToESTSEnabled設定の値がtrueに設定されていることを確認し、次の手順に進む前に1時間ほど待機します。
次にAzure AD Connectを使用してパススルー認証を有効にします。Azure AD Connectにてユーザーサインインの変更を選択して次へをクリックします。次にサインイン方式としてパススルー認証を選択しましょう。正常に完了するとAzure AD Connectをと同じサーバーにパススルー認証エージェントがインストールされテナントで機能が有効になります。
ここまで完了したらパススルー認証機能の有効化が正しく行われたかを確認します。
まずテナントのグローバル管理者のアカウントIDとパスワードでAzure AD 管理センターにサインインします。左ウィンドウでAzure Active Directoryを選択し、次にAzure AD Connectを選択しましょう。パススルー認証機能が有効と表示されていることを確認し、パススルー認証を選択します。パススルー認証ウィンドウにて認証エージェントがインストールされているサーバーが一覧表示されます。
この段階でテナントに含まれるすべての管理対象ドメインのユーザーがパススルー認証を使ってサインインできます。最後に高可用性を維持するために最新バージョンの認証エージェントをダウンロードします。テナントのグローバル管理者アカウントIDとパスワードでAzure Active Directory管理センターにサインインします。左ウィンドウにてAzure Active Directoryを選択し、Azure AD Connect≫パススルー認証≫エージェントのダウンロードの順に選択します。使用条件に同意してダウンロードをクリックして最新の認証エージェントをインストールしましょう。
シングルサインオンで利便性とセキュリティを追求する
Office 365でシングルサインオンを実装することは単にユーザーの利便性を追求するためではありません。シングルサインオンを導入すると利便性と共にセキュリティも向上します。複数のシステムやサービスを利用している場合は、IDやパスワードを管理しきれずに情報漏えいに至るというケースもあります。それに対してシングルサインオンを実現している環境なら、複雑なアカウント管理は不要です。それによりセキュリティも向上するので、シングルサインオンで利便性とセキュリティのどちらも追及しましょう。