[運用]
Windowsで構築する、クラウド・サービスと社内システムのSSO環境 第3回

3.Windows Live IDとAD FS 2.0との連携

Microsoft MVP
Identity Lifecycle Manager
伊藤忠テクノソリューションズ株式会社
富士榮 尚寛
2010/09/22

[SaaS]Windows Live IDとの認証連携

 次は同じくSaaSであるマイクロソフトのオンライン・サービスとの連携である。現状のマイクロソフトのオンライン・サービスのアイデンティティ基盤はWindows Live IDなので、Windows Live IDのアカウントとのフェデレーションを行う形で環境を構築する。そのためにマイクロソフトがオンライン・サービス側に用意しているのがMicrosoft Federation Gateway(MFG)である。今回はMFGとAD FS 2.0の間でフェデレーション関係の構築を行う。

自動設定ツールによる設定
 構築する環境はGoogle Appsの場合とほぼ同様だが、フェデレーション設定を自動化するツール(Federation Utility for Microsoft Federation Gateway)が用意されているので設定作業自体は非常に簡単だ。このツールは以下のサイトよりダウンロードできる(ただし事前に登録が必要)。

Federation Utility for Microsoft Federation Gateway
Windows Live IDとAD FS 2.0とのフェデレーション設定を自動化できるツール。
このボタン(または[Establish Trust]ボタン)をクリックするだけで、自動的にフェデレーションが設定される。

 使い方は非常に簡単で、Federation Utility for MFGツールを起動して[Establish Trust]ボタン(または[Re-establish Trust]ボタン)をクリックするだけなのだが、注意すべき点としてMFGがIdPを信頼する必要がある。そのためには外部向けに公開されたドメイン上に構築されたAD FS 2.0に「MFGが信頼する証明機関が発行した証明書」をインストールしておく必要がある。MFGが信頼する証明機関は以下のページの中ほどの「Obtain a Domain Proof Certificate」の項に一覧が記載されているので、そのいずれかから証明書を取得していただきたい。

 Federation Utility for MFGツールを使った信頼が成功すると自動的に証明書利用者信頼の設定が出来上がる。

自動的に作成された証明書利用者信頼

 同様に要求規則についても自動的に設定される。

自動的に設定された要求規則
これらの要求規則がFederation Utility for MFGツールによって自動的に追加された。

Windows Live ID連携の実際の動作
 ここまで設定ができたら実際にWindows Liveのサービスにアクセスしてみる。

 「http://account.live.com」にアクセスし、Windows Live IDの入力欄にドメイン・ユーザーのIDを「user@mydomain.com」という形で入力する。その状態でフォーカスを移すと自動的にサインイン先としてローカルのAD FS 2.0が指定される。

Windows Live IDのサインイン・ページ
ここに「user@mydomain.com」という形式でドメイン・ユーザーのIDを入力する。
からフォーカスを移動すると、サインイン先として自動的にローカルのAD FS 2.0が指定される。

 サインインをクリックするとAD FS 2.0にリダイレクトされるので認証を行う。同一ドメイン内からのアクセスであればWindows統合認証が行われ、シングル・サインオンされる。

AD FS 2.0での認証
ドメイン・ユーザー名とパスワードを入力して認証する。

 認証が成功するとWindows Liveサービスに戻る。

Windows Liveサービスへのサインオン

 検証を行った後にMFGとの信頼を切断する際は「FedUtilMFG.exe /Terminate」というコマンドを使う。ただし、一度切断してしまうと再度同じWindows Live IDではアクセスできなくなる可能性がある。そのため安易に自社ドメインで検証するのは避けた方がよいだろう。


 INDEX
  [運用]Windowsで構築する、クラウド・サービスと社内システムのSSO環境
  第1回 クラウド・コンピューティングとアイデンティティ管理の概要
    1.クラウド・コンピューティングの基礎と課題
    2.クラウドでのセキュリティ対策とアイデンティティ管理の役割
    3.クラウドがアイデンティティ管理システムにもたらす変化
 
  第2回 クラウド・コンピューティング時代の認証技術
    1.アイデンティティ連携(フェデレーション)の要素技術
    2.マイクロソフトのアイデンティティに関するビジョン
    3.アイデンティティ・メタシステムの実装
 
  第3回 クラウド・サービスと社内ADとのSSOを実現する(前)
    1.AD FS 2.0のセットアップ
    2.Google AppsとAD FS 2.0との連携
  3.Windows Live IDとAD FS 2.0との連携
    4.Salesforce.com CRMとAD FS 2.0との連携
 
  第4回 クラウド・サービスと社内ADとのSSOを実現する(後)
    1.Windows AzureとAD FS 2.0との連携(1)
    2.Windows AzureとAD FS 2.0との連携(2)

 Windows 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間