パススルー認証とシームレスサインオンを利用すると、ユーザーが社内ネットワークに接続すると自動的にAzure ADにサインオンすることができます。これを利用すると、ADFSを構築せずに、ディレクトリ同期サーバのみで、ADドメインに参加しているPCに対してSSO環境を提供することができます。
まず、用語の意味を整理します。
目次
パススルー認証とは
パススルー認証とは、簡単にいうとAzure ADのユーザー認証をオンプレミスのActive Directoryで認証できるようする認証方法です。これによって オンプレミスのActive DirectoryとAzure ADで同じパスワードを利用できるというメリットがあります。Azure AD Connectのパスワード同期との違いは、オンプレミスのActive Directoryに保存されているパスワードを外部に一切送信していないという点です。そのため、パススルー認証はコンプライアンスポリシーが厳しい組織にも利用しやすくなっています。
シームレスサインオンとは
ユーザーが社内ネットワークに接続すると自動的にサインオンする機能です。グループポリシーを使用して、一部のユーザーまたは、全てのユーザーに展開することができます。
今回はこれらを組み合わせてSSO環境を構築します。
設定は簡単で、Azure AD Connect を利用してデプロイすることができます。
事前準備として、Azure AD Connect (version 1.1.557.0以上) を利用して、オンプレミスのActive Directory とAzure ADがDirectory同期されている環境を用意しておきます。
パススルー認証のデプロイ方法
Azure AD Connectがインストールされているサーバに管理者権限でログインし、Azure AD Connectを起動します。
追加のタスクで、「ユーザー サインインの変更」を選択し、サインイン方式を「パススルー認証」にチェックを入れ、「次へ」を選択します。
これにより、Azure AD Connectがインストールされているサーバに、パススルー認証エージェントがインストールされます。
また、ディレクトリ同期サーバ以外に、認証エージェントをインストールすることによって、高可用性を保つことができます。
追加の認証エージェントが必要な場合は次のURLからインストールできます。
https://aka.ms/getauthagent (クリックするとダウンロードが始まります)
次に正しく設定できたことを確認するために、Azure AD テナントのグローバル Administrator アカウントを利用して、Azure AD管理センターにログインします。
Azure Active Directory 管理センター: https://aad.portal.azure.com
画面左側のタブの「Azure Active Directory」→ 「Azure AD Connect」を選択し、パススルー認証が有効になっていることを確認します。
この段階で、テナントに含まれる全ての管理対象ドメインのユーザが、パススルー認証を利用してサインインすることができるようになります。ただし、フェデレーションドメインのユーザは引き続き、Active Directoryフェデレーションサービスまたは、Shibbolethなどのその他のフェデレーションプロバイダーを利用して、サインインします。
シームレスサインオンのデプロイ方法
パススルー認証と同様に、Azure AD Connectがインストールされているサーバに管理者権限でログインし、Azure AD Connectを起動します。
追加のタスクで、「ユーザー サインインの変更」を選択し、[シングル サインオンを有効にする] チェック ボックスをチェックします。
パススルー認証のときと同様に、Azure Active Directory 管理センターにログインし、設定が反映されたことを確認します。
「シームレスなシングルサインオン」が有効になっていることを確認します。
次に、Active Directoryのグループポリシーを利用して次の2つのURLをユーザのイントラネットゾーンに設定します。
https://autologon.microsoftazuread-sso.com https://aadg.windows.net.nsatc.net
グループ ポリシー管理エディタを開き、グループポリシーを編集します。今回は例として、既定のドメインポリシーを編集します。
「ユーザーの構成」 → 「Administrative Templates」 → 「Windows コンポーネント」 → 「Internet Explorer」 → 「インターネット コントロール パネル」 → 「セキュリティ ページ」 → 「サイトとゾーンの割り当て一覧」を選択します。
ポリシーを有効にし、Kerberos チケットの転送先となる Azure AD の URLとイントラネットを示す、Value”1″を入力します。
以上で設定完了です。
社内ネットーワークからサインイン
ADドメインに参加しているコンピューターから、実際にサインインします。
Internet ExplorerからOffie365のサインインページ(https://login.microsoftonline.com)からサインインすると、パスワードを入力せずにシームレスにログインすることができます。
※ Firefoxなどで利用する場合は追加の設定が必要です。
https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso#feature-highlights
また2017年9月現在、ユーザが先端認証を使用する全てMicrosoft Office Clientにサインインすることがサポートされています。Outlook2016からMAPI接続でAzureADにサインインする場合は、次のようにメールアドレスを入力するだけでサインインすることができます。
社内ネットーワークからサインインするときの認証フローは次のサイトが参考になります。
Azure Active Directory パススルー認証: 技術的な詳細
社外ネットワークからサインイン
もちろん社外ネットワークからでもAzure ADにサインインすることができます。
社外からサインインする場合は、ユーザ名とパスワードを利用して認証します。
認証フローは次のサイトが参考になります。
Azure Active Directory シームレス シングル サインオン: 技術的な詳細
まとめ
パススルー認証とシームレスサインオンを利用してSSO環境を構築してみました。冒頭に書いてあるように、ADFSを構築せずにシングルサインオン環境を簡単に構築することができました。
2017年9月現在、パススルー認証とシームレスサインオンはプレビュー段階ですが、公開されればADFSを運用せずに、シングルサインオン環境を構築できる素晴らしい機能だと思います。
参考
Title: Azure Active Directory パススルー認証によるユーザー サインイン
URL: https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-pass-through-authentication
Title: Azure Active Directory シームレス シングル サインオン
URL: https://docs.microsoft.com/ja-jp/azure/active-directory/connect/active-directory-aadconnect-sso