検索
連載

第2回 Office 365とのアイデンティティ基盤連携を実現する(前)クラウド・サービスと社内システムとのID連携 最新トレンド(1/3 ページ)

クラウド・サービスであるOffice 365でも、社内のActive Directoryアカウントを利用してシングル・サインオンできると便利だ。でも、その方法は? 社内ADをID管理基盤として利用する場合の環境構築手順を詳しく解説する。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
クラウド・サービスと社内システムとのID連携 最新トレンド
Windows Server Insider


「クラウド・サービスと社内システムとのID連携 最新トレンド」のインデックス

連載目次

 第1回では、クラウド・サービスを含む各種システムをさまざまな環境からセキュアかつ効率的に利用するにはID連携が必要であること、およびID連携に関する技術要素と管理に関する考え方を解説した。今回からは、代表的なクラウド・サービスとのID連携およびクラウド・サービス上のアイデンティティ情報を社内から管理する環境を実際に構築することにより、実際の利用イメージや前回解説した概念について理解を深めていただくことを目指す。

 なお、解説すべき技術要素が多岐にわたるため、以下のクラウド・サービスを対象に、それぞれ特徴的な実装方法をピックアップして解説する(順番も以下の通り)。

Office 365

Google Apps

Salesforce.com

Windows Azure Active Directory

本連載で構築するアイデンティティ連携基盤の全体像
本連載で構築するアイデンティティ連携基盤の全体像

 今回はOffice 365とのID連携およびSSOの環境構築について、次回はその動作の確認方法についてそれぞれ解説する。

Office 365とのID連携とSSOを実現する

 Office 365を利用する上で、認証およびID管理基盤の利用方法には以下の3つのパターンがある。

パターン 認証 ID管理
A Windows Azure Active Directoryで認証 Windows Azure Active Directoryを利用
B Windows Azure Active Directoryで認証 ディレクトリ同期ツールを利用して社内AD DSと同期
C AD FS 2.0を利用して社内AD DSで認証 ディレクトリ同期ツールを利用して社内AD DSと同期
Office 365における認証およびID管理基盤の利用パターン

 本稿では、社内のアイデンティティ基盤との連携を解説するため、表中のパターンCの環境を構築する方法を解説する。

Office 365と社内Active Directoryの連携環境
Office 365と社内Active Directoryの連携環境

環境の準備

 Office 365と社内AD DSを連携し、社内外からブラウザやOutlookなど複数の方法で利用するための環境を構築するにはそれなりの準備が必要となる。以下に最低限必要となる要件を記載する。

要件 用途 備考
管理可能な社外用ドメイン ・Office 365/Windows Azure Active Directory側からのテナント認識
・社外からの認証システム(AD FS)へのアクセス
・社内のAD DSドメイン名と同一である必要がある。
・社内がローカル・ドメイン(〜.localなど)を利用している場合は社内AD DS上のオブジェクトのユーザー・プリンシパル名(UPN)を外部ドメインと合わせる必要がある
外部証明機関から発行されたサーバ証明書 ・Office 365/Windows Azure Active Directory側からのセキュアな通信確立 AD FS 2.0/AD FSプロキシ・サーバのFQDN で証明書を取得する
プランE1以上のOffice 365 ・Active Directory統合機能の利用 教育機関向けのプランAでも可
Office 365と社内AD DSを連携するための要件

Office 365にSSO用ドメインを追加する

 まずはOffice 365にサインアップして、管理者ポータルからSSO用のドメイン(上表の「管理可能な社外用ドメイン」)を追加する。それには、Office 365の管理者ポータルを開き、左側のナビゲーション・メニューの[管理]より[ドメイン]をクリックしてドメイン管理画面を開く。

Office 365のドメイン管理画面
Office 365のドメイン管理画面
この画面から、まずはSSO用ドメインを追加する。
  (1)これをクリックすると、右側にドメイン管理画面が表示される。
  (2)これをクリックすると、ドメインの指定するための画面が表示される。

 [ドメインの追加]をクリックすると[ドメインの指定]画面が表示されるので、用意しておいた社外ドメイン名を入力する。

追加するドメインの指定
追加するドメインの指定
  (1)用意しておいたSSO用の社外ドメイン名を入力する。

 [次へ]ボタンをクリックすると[ドメインの確認]画面に移る。ここでは、指定したドメインの所有権をマイクロソフトに確認される。そのための方法が代表的なレジストラごとに表示されるので、自身の利用しているレジストラを選択後、指示に従って所有権確認用のDNSレコードをドメインへ追加する。リストにないレジストラを利用している場合は、レジストラ選択リストから[一般的な手順]を選ぶと、追加すべきDNSレコード(TXTレコードまたはMXレコード)が表示されるので対象のドメインへ登録する。

ドメイン確認用レコードの追加方法(GoDaddyの例)
ドメイン確認用レコードの追加方法(GoDaddyの例)
ドメインを追加するには、そのドメインを所有していることをマイクロソフトに証明する必要がある。それには、この画面に表示される手順に従って特定のDNSレコードをドメインに追加する。
  (1)追加しようとしているドメインを登録したレジストラを選択する。レジストラが一覧にない場合は[一般的な手順]を選ぶ。
  (2)(1)で選んだレジストラに対応した手順の説明が表示される。これに従ってDNSレコード(TXTレコードまたはMXレコード)をドメインに追加する。

 必要なDNSレコードを登録したら、インターネットへの当該レコードの伝搬を待った後、Office 365管理ポータルの画面下部の[完了しました。今すぐ確認してください]ボタンをクリックする。するとOffice 365側からドメインの所有権の確認(必要なレコードの追加ができたかどうか)が行われる。DNSレコードの伝搬にはしばらく時間がかかるため、所有権確認でエラーが表示された場合はしばらく(数十分から数時間)待ってから再度確認する。

ドメインの所有権の確認
ドメインの所有権の確認
DNSレコードを追加したら、それがインターネットに伝搬されるのを待った後、管理画面に戻ってドメインの確認をする。
  (1)これをクリックすると、ドメイン確認が始まる。
  (2)ドメイン確認中を表すダイアログ。正常に完了すると、追加したドメインで利用するサービス選択の画面へ進めるようになる。

 ドメインの確認が完了すると、追加したドメインで利用するサービスの選択を行う画面が表示される。なお、Exchange Online/Lync OnlineとSharePoint Onlineは同時に追加できないため、本稿ではExchange Online/Lync Onlineを利用する。

追加したドメインで利用するサービスの指定
追加したドメインで利用するサービスの指定
  (1)利用したいサービスにチェックを入れてオンにする。ただしExchange Online/Lync OnlineとSharePoint Onlineは同時に選択できない。

 サービスを追加すると、それらに対応したDNSレコードの作成が求められるので、前述のドメイン確認時と同様の手順でDNSレコードを登録する。執筆時点でExchange Online/Lync Onlineのために必要なDNSレコードは以下の通りである。

サービス レコード種別 ホスト名
Exchange Online MX @
CNAME autodiscover
TXT @
Lync Online SRV _sip
SRV _sipfederationtls
CNAME lyncdiscover
Exchange Online/Lync Onlineで必要となるDNSレコード
各レコードの設定値は、対象のドメインに応じて管理画面から指示される。

 すべての作業が終わったら、管理者ポータルよりドメインを表示させる。追加したドメインの状態が[確認済み]となっているはずだ。

確認が完了したドメイン
確認が完了したドメイン
これは、上記の作業を完了した後に管理者ポータルでドメイン一覧を表示させたところ。
  (1)確認が済んで追加作業が完了したドメイン。


       | 次のページへ

Copyright© Digital Advantage Corp. All Rights Reserved.

ページトップに戻る