ADFSの代替えIDを使用し、Office365にログインする

こんにちは。今回はADFSの代替えIDについてご紹介します。デフォルトではADFSにログインする際、ADの属性「userPrincipalName」または「sAMAccountName」でログインします。代替えIDを使用すると、Mail属性など任意の属性を使用しログインできます。例えば、「userPrincipalName」の値が「test@local」、「sAMAccountName」の値が「test」で、「Mail」が「test2@o365」などの場合、「test2@o365」でADFSにログインできます。代替えIDで使用できる属性は、ADのグローバルカタログに登録されている属性に限ります。

代替えIDの設定を確認する

プライマリADFSサーバにログインし、PowerShell(管理者)を起動、コマンドを実行します。

Get-AdfsClaimsProviderTrust

実行結果

AlternateLoginID で指定されている属性名が代替えIDになります。デフォルトは「 UserPrincipalname」です。

画像1

 

代替えIDを設定する

プライマリADFSサーバにログインし、PowerShell(管理者)を起動、コマンドを実行します。

Set-AdfsClaimsProviderTrust -TargetIdentifier “AD AUTHORITY” -AlternateLogin mail -LookupForests {ADドメイン名.local}

実行結果

AlternateLoginID で指定されている属性名が「Mail」になります。これでADFSのログインがメールアドレス属性で可能になります。

画像2

補足

  • AzureADConnectのインストーラを使用し、ADFSをインストールした場合、Office365の「userPrincipalName」として扱う属性が代替えIDとして自動設定されます。ただし、グローバルカタログにない属性を指定した場合は、「userPrincipalName」が設定されます。
  • 代替えIDは、 Thunderbird などのメーラを使用したIMAP接続にも使用できます。先端認証に対応していないメーラからの認証に使えます。
  • 代替えIDとして使用する属性の値が重複している場合ログインが失敗します。例えば、代替えIDに「Mail」を指定。ユーザAのMail属性が「test1@com」で、ユーザBのMail属性が「test1@com」の場合、値が重複しているため、ADFSへのログインが失敗します。
ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

0人がこの投稿は役に立ったと言っています。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です