Active Directory Federation Servicesを用いたSSO設定
ここまでの設定ではユーザーIDとパスワードの同期は取れていても、利用者は都度IDとパスワードを入力する必要があります。Active Directoryは、クラウド登場以前に開発された基盤です。そのため当初からシングルサインオン環境という物は意識されておらず、Active Directory内でのみ必要とされる、Kerberos認証にフォーカスを当てて作られました。
シングルサインオン環境構築には、インターネットを利用して上でIDやパスワードのやり取りを行うSAML(Security Assertion Markup Language)ベースでの認証基盤の構築が必要です。Office 365と連携するにあたりActive Directory Federation Services(以下、ADFS)がSAMLベースでの認証基盤です。ADFSを構築すると、ドメインユーザーでWindowsにログイン後、Office 365にアクセスしてもID/パスワードを入力することなく各サービスを利用できるようになります。
ADFSの設定並びに構築については本稿では触れません。ただし、自習書や書籍などでは、構築についても記載されているので、そちらを参照してください。
本来はここでADFS構築を推奨したいところではありますが、著者の所属する企業ではいまだにADFS構築並びに移行に踏み切れていません。その理由について紹介します。
Active Directory Federation Servicesのメリット/デメリット
最初に事実のみを記載します。
ADFSは利用規模や用途にもよりますが、イントラ環境にADFSサーバーを、DMZ環境に外部から認証を行うためのADFS Proxyサーバーを配置する必要があります。
ADFS構築後、PowerShellのコマンドを1つ実行するとActive Directoryは従来の環境で利用されている標準のドメインから、フェデレーションドメインへと変更されます。
フェデレーションドメインへの切り替え後、ユーザーはシングルサインオンを利用できるようになります(Office 365へのログインID/パスワードを利用できなくなります)。またADFSがダウンした場合、たとえOffice 365が正常動作していても、Office 365のログインID/パスワードが利用できないため、全ユーザーがOffice 365のサービスを利用できなくなります。
いかがでしょうか。ADFSはシングルサインオンというメリットを実現してくれますが、冗長化を行わなければリスクの方が高くなるというデメリットがあります。
フェデレーションドメインへ変更後、標準ドメインに再度切り替えることも可能です。しかし、標準ドメインに切り替えた場合、ログインIDについては今まで通りのIDが使用できますが、パスワードはすべてリセットされます。管理者は事前にパスワードを決めて、フェデレーションドメインから通常ドメインに切り替えた場合のパスワードを事前通知しておく必要があります。
同期ツールでパスワード同期設定をしていても、初回のみ現在のパスワードを同期してくれますが、二度目以降はドメイン内でパスワードが変更された情報のみ同期します。再度同期ツールを構成しても、フェデレーションドメインから標準ドメインへの変更後のパスワード同期まではされません。
ここまでホラーストーリーのような記載をしましたが、パスワードに関する問い合わせは確実に来ます。確かな知識、冗長化のサーバー確保などが実現できる場合は、ADFSを構築するべきです。
著者の所属している企業の場合、長期的に見てADFSを構築予定ですが、現時点ではActive Directoryの同期(パスワード同期含む)のみの状態です。今後の展開として本社とは別拠点に冗長化のADFS並びにADFS Proxyを構築し、準備ができ次第ADFSのフェデレーションドメインへと切り替える方向で検討しています。
なお費用とIT管理者の技術があるならば、Windows Azure上にActive DirectoryとADFSを構築することも可能です。実際に富士ソフト株式会社では、ADFS on Azureというサービスを提供開始しています。このサービスはActive Directory、ADFS、ADFS Proxyの各サーバーをWindows Azure上に構築します。IT管理者としては、会社の中で最も気を使うであろうActive Directoryのクラウド上への冗長化も実現できるため、会社の規模にもよりますが、検討する価値のあるサービスだと思います。
まとめ
今回はOffice 365の初期設定について紹介しました。正直なところ、Active Directoryさえ事前に構築が完了していれば、他の設定作業は基本的にウィザードに沿って実施するだけで完了します(Active Directoryがない場合は、CSVの作成に時間はかかるかと思います)。ただし、初期設定部分は基幹となる部分が多くあります。特にドメイン登録やUPN変更などは、全社的に影響が及ぶ設定となるため、事前アナウンスを行うことが重要です。
またADFSの構築と運用に関しては、事前に入念な準備が必要です。利便性は格段に向上しますので、冗長性を確保したうえで取り組んでみてはいかがでしょうか。
次回はOffice 365を展開する際の手順について紹介予定です。お楽しみに。
