連載
» 2018年05月29日 05時00分 公開

AD FSを使ったSaaSとのSSO環境構築(3):実践「AD FS 2016」を使って「Office 365」とのSSO評価環境構築:Azure環境とAD DSの構築編 (1/6)

Windows Server 2016のAD FSを使って、SaaSとのSSO環境構築方法を紹介する本連載。今回は、AD FS 2016によるOffice 365とのSSO評価環境の構築方法として、Azure環境、Azure Active Directoryドメインサービス(AD DS)の構築方法を紹介します。

[増田裕正,富士ソフト株式会社]

Windows Server 2016のAD FSを使ったSaaSとのSSO環境構築

 メールやスケジュール、ドキュメント管理など、さまざまなシステムがSaaS(Software as a Service)になり、多くの企業が日常的に利用しています。このようなSaaSを利用する場合、ログインのアカウントとパスワードが既存システムと異なっていると、ユーザーの利便性が下がり、情報システム部門の管理負担も増大してしまいます。

 そのため業務でのSaaS導入においては、既存のID管理システムで管理しているアカウントとパスワードによるログイン、つまりシングルサインオン(SSO)とアカウント/パスワードの一元管理ができることが望まれます。さらにセキュリティの観点からは「SaaSへのアクセスを特定の経路のみに限定する」「特定のデバイスのみに限定する」といったことも必要となります。

 本連載では、このような問題を解決できる「Windows Server 2016 Active Directoryフェデレーションサービス」(AD FS 2016)の紹介と、代表的なSaaSである「Office 365」とのSSO環境構築手順を紹介しています。

 前回は、企業内に構築されたActive Directoryに対して、「Windows Server 2016 Active Directoryフェデレーションサービス」(AD FS 2016)を構成してOffice 365とのシングルサインオン(SSO)を実現するハイブリッドID管理環境の構築に必要な前提知識や前提条件について説明しました。今回から、AD FS 2016によるOffice 365とのSSO評価環境の構築手順を説明します。

AD FS 2016の環境構築の準備

 AD FS 2016を利用したOffice 365とのSSO環境構築を実際に行うときは、サーバをオンプレミス環境に構築します。しかし今回は、検証、評価が目的のため、Microsoftのクラウド基盤である「Microsoft Azure」(以下、Azure)上に、環境を構築します。構築を進める前に、前回の「AD FS 2016によるSSO評価環境構築の前提条件」「AD FS 2016によるSSO評価環境構築の必要条件」の各項目を確認してください。また以下の注意点も確認ください。

No. 必要なもの サービス
1 独自ドメイン 任意のドメイン名を取得してください。既にドメインを持っている場合は、サブドメインを利用できます
2 SSL証明書 既定の商用証明機関から、以下のコモンネームで証明書を購入ください
sts.<独自ドメイン>
3 Azure 既存のAzureアカウントを利用するか、無料アカウントを利用してください
4 Office 365 既存のOffice 365アカウントを利用、もしくはOffice 365 Enterprise E3試用版を利用してください
また以下の手順に従い、独自ドメインを設定してください
ドメインとユーザーを Office 365 に追加する
図表1 評価環境構築の必要条件に対する注意点

AD FS 2016によるSSO評価環境構築のフロー

 では、図表2のフローに従って、評価環境を構築方法を紹介します。実際に本番環境を構築する場合は、オンプレミス環境に構築するので、「1.Azure環境の構築」「7.VPNの構築」の作業は必要ありません。また、本番環境では既存の「Active Directoryドメインサービス」(AD DS)を利用するため、「2.AD DSの構築」の作業も不要です。

図表2 AD FS 2016によるSSO評価環境構築のフロー

AD FS 2016によるSSO評価環境構築の全体構成

 図表3の評価環境を構築します。今回は、独自ドメインを「masuda.work」にしています。

図表3 AD FS 2016による SSO評価環境の全体構成

今回使用する各設定

  • 独自ドメイン:masuda.work
  • ドメイン管理者アカウント:domainadmin
  • ローカルユーザーアカウント:localadmin

・仮想マシンの作成

  • 仮想ネットワーク:adfsResourceGroup
  • リージョン:東日本
  • ディスクの種類:HDD
  • 仮想マシンサイズ:A2_v2 Standard
  • アドレス空間サイズ:10.2.0.0/24
サーバ サーバ名 ネットワークセキュリティグループ ネットワーク インターフェイス プライベートIPアドレス
AD DS adds001 adfsNsg01 adds001434 10.2.0.4(静的)
AD CS adcs001 adfsNsg01 adcs001282 10.2.0.5(静的)
AD FS adfs001 adfsNsg01 adfs001335 10.2.0.6(静的)
WAP wap001 adfsNsg02 wap001420 10.2.0.7(静的)
       1|2|3|4|5|6 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。