連載
» 2012年12月12日 18時16分 UPDATE

クラウド・サービスと社内システムとのID連携 最新トレンド:第3回 Office 365とのアイデンティティ基盤連携を実現する(後) (1/2)

前回構築したOffice 365と社内Active Directoryとのアイデンティティ連携環境で、実際に社内あるいは社外からPC/スマートフォンでアクセスしてシングル・サインオンがどのように動作するのか確認する。

[富士榮 尚寛(Microsoft MVP - Forefront Identity Manager),伊藤忠テクノソリューションズ株式会社]
クラウド・サービスと社内システムとのID連携 最新トレンド
Windows Server Insider


「クラウド・サービスと社内システムとのID連携 最新トレンド」のインデックス

連載目次

 第2回ではAD FS 2.0およびディレクトリ同期ツールを利用したOffice 365と社内Active Directory(AD)のアイデンティティ(ID)連携環境の構築方法を解説した。今回は構築した環境を使って実際のID連携動作を確認する。

 今回、Office 365への接続を確認するために以下のパターンの接続環境を用意した。ADのリソースに直接アクセスできる社内ネットワークと、それができない社外では挙動が異なるため、それぞれ別々に確認する。

ネットワーク デバイス クライアント
社内から接続 PC Webブラウザ(Outlook Web App)
Outlook 2010
Lync 2010
社外から接続 PC Webブラウザ(Outlook Web App)
Outlook 2010
Lync 2010
スマートフォン
(Windows Phone 7.5、
Android OS 4.0)
Outlook(Exchange ActiveSync)
カレンダー
Lync 2010 Mobile
動作確認パターン
社内からと社外からの接続とを区別しているのは、ADに直接アクセスできる社内と、それができない社外では挙動が異なるためである。「Lync」とは、インスタント・メッセージやボイス・メールなどの送受信ができるマイクロソフトのサービス/製品である。

 また、クラウド・サービスを利用する際の大きなメリットの1つである、いつでもどこからでもアクセスが可能である、という点を享受するためには、スマートフォンなどの非PC端末でもアクセスできることが重要である。そこで、Android OS 4.0またはWindows Phone 7.5を搭載したスマートフォンからの接続についても確認する。

社内からOffice 365へのアクセスの確認

 まずは社内設置のWindows PCからOffice 365に接続する際の動作を確認しよう。

●社内PCのWebブラウザからアクセス

 まず、ADドメインに参加しているPCのWebブラウザ(Internet Explorer:IE)からOutlook Web Appを使ってExchange Onlineへアクセスする。

 その前に、WindowsへのログオンからOffice 365へシングル・サインオンするために、あらかじめAD FS 2.0サーバへ統合Windows認証でログオンできるようにしておく必要がある。具体的にはIEのセキュリティ設定でAD FS 2.0サーバをローカル・イントラネット・ゾーンに加えておく(デフォルトでIEの統合Windows認証がローカル・イントラネット・ゾーンに対してのみ有効なため)。

 Outlook Web App(https://outlook.com/owa/office365.com)へアクセスするとOffice 365のサインイン画面が表示されるので、ログインIDを「<ユーザー名>@<ドメイン名>」形式で入力する。するとパスワード入力欄がオフになる代わりにAD FS 2.0でのログイン用のリンクが表示される。

Outlook Web Appへのサインイン Outlook Web Appへのサインイン
これは社内において、Office 365のhttps://outlook.com/owa/office365.comをIEで開いたところ。
  (1)ログインIDを「<ユーザー名>@<ドメイン名>」の形式で入力する。
  (2)パスワードは入力する必要はない(入力できなくなる)。
  (3)これをクリックしてサインインする。

 表示されたリンクをクリックするとOffice 365へのサインインが始まる。正常にサインインが完了すると、Outlook Web Appの画面が現れる。

サインインに成功した直後のOutlook Web App サインインに成功した直後のOutlook Web App
パスワードの入力なしでOutlook Web Appが利用できる。

●社内PCのOutlook 2010からアクセス

 デスクトップ・アプリケーションを利用する場合、あらかじめアプリケーション上に社内ADのIDとパスワードを設定しておくことでOffice 365上のサービスを利用できる。一般的なWebベースのシングル・サインオンと比較すると、あるアプリケーションで認証された結果をほかのアプリケーションに引き継ぐ、という意味でのユーザー体験としてのシングル・サインオンではなく、単に認証システムが単一である、という意味でのシングル・サインオンである点が異なっている。これはWebブラウザと異なりデスクトップ・アプリケーションでは、複数のアプリケーション間で共有できるリソース(Cookieやセッション情報など)の形態が標準化されておらず、認証結果を引き継げないためである。

アプリケーション形態 ユーザー体験 認証システム
Webアプリケーション 同一のブラウザ・セッション上ではWebアプリケーションへのログインが引き継がれる 個別システムではなく単一のシステム(例:Active Directory)
デスクトップ・アプリケーション アプリケーション単位で認証を行う必要がある 個別システムではなく単一のシステム(例:Active Directory)
アプリケーション形態とシングル・サインオン

 なお、通常のOutlookではオンライン・サービスでの認証を行うために必要なMicrosoft Online Serviceサインイン・アシスタントが導入されていない。いったんWebブラウザでOffice 365のポータル・ホームへアクセスし、そこからダウンロードできるMicrosoft Office Professional Plusをインストールして利用する。

Microsoft Online Servicesサインイン・アシスタントのインストール Microsoft Online Servicesサインイン・アシスタントのインストール
Office 365のポータルからダウンロードしたOffice Professional Plusをインストールすると、Microsoft Online Servicesサインイン・アシスタントがインストールされる。

Microsoft Online Servicesサインイン・アシスタントによるOffice 365へのサインイン Microsoft Online Servicesサインイン・アシスタントによるOffice 365へのサインイン
前述のWebブラウザの場合と異なり、パスワードを入力する必要がある。

 あとは通常のOutlookと同様にExchangeのアカウントを設定する。

Outlookへのアカウント設定 Outlookへのアカウント設定
通常のExchange Onlineの場合と同様にアカウント情報を設定する。

 あとは通常のOutlook 2010と同様に利用できる。

Outlook 2010によるOffice 365のメールへのアクセス
Outlook 2010によるOffice 365の予定表へのアクセス Outlook 2010によるOffice 365へのアクセス
社内からOutlook 2010でOffice 365にアクセスし、メール(上)と予定表(下)を開いたところ。通常のOutlook 2010と同様に利用できる。

Exchange Online用DNSレコードは社内と社外ともに設定する

 Office 365のセットアップ時にExchange Online用に設定したDNSレコード(autodiscover)は、社内ドメインからも検索が可能な状態となっている必要がある。社内と社外で同一の名前空間を利用しているネットワーク環境において、その名前空間を社内用と社外用にそれぞれ保持している場合は、両方のゾーンにautodiscoverのレコードを登録しなければならない。未登録の場合はExchangeのアカウント設定に失敗することがあるので要注意だ。

 また、Lync Online用DNSレコードについても同じことが当てはまる。


●社内PCのLync 2010からアクセス

 続いて社内PCにインストールされたLync 2010クライアントからOffice 365のLync Onlineへ接続する。Lync Onlineを利用すると、場所やデバイスを問わずにインスタント・メッセージやボイス・メールなどを送受信できる。

 Lync 2010クライアントの起動後、サインイン・アドレスを入力して[サインイン]ボタンをクリックすると、パスワード入力を求められることなくLync Onlineに接続され、そのまま利用できる。なお、前述のコラムのとおり、Exchange Onlineと同様に社内PCからもDNS上に設定したLync Online関連のレコードへアクセスできるようにする必要があるので注意したい。

Lync 2010クライアントでサインイン Lync 2010クライアントでサインイン
これは社内からLync 2010クライアントでサインインしたところ。パスワード入力なしでLync Onlineが利用できる。

 以上が、社内のADドメインに参加しているPCからOffice 365/AD FS 2.0環境を利用した際の動作である。


       1|2 次のページへ

Copyright© 1999-2017 Digital Advantage Corp. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

Focus

- PR -

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。