Reading Time: 1 minutes

◆ 今回の記事のポイント ◆
・ SAMLプロトコルを使用したシングルサインオンの仕組みについて解説
・ クラウドサービスをAzure ADに関連付けるための手順について解説

私はこの連載の最初に「Azure ADを利用する目的はクラウド上のアプリケーションへの認証・認可を一元化することにある」という趣旨の話をしました。現在、多くの企業で抱える課題に、企業で利用するクラウドサービスにアクセスするごとにユーザー名とパスワードを入力しなければならないというものがあります。Azure ADではこうした面倒をなくし、Azure ADで一度認証を行うだけで、それぞれのクラウドサービスにアクセスするときに毎度ユーザー名とパスワードを入力しなくてもよい、という解決策を提供してくれるという話でした。

では、現在お使いのクラウドサービスをAzure ADに関連付けるには、どうしたらよいでしょうか?IaaS, PaaS, SaaSの3種類のクラウドサービスのうち、どれを利用するかによって関連付けの方法は異なるのですが、ここではSaaSのケースを取り上げて具体的な関連付けの方法について解説します。
SaaSのクラウドサービスをAzure ADに関連付ける場合、シングルサインオン用のプロトコルであるSAMLと呼ばれるプロトコルが利用できます。SAMLプロトコルでは、ユーザー名とパスワードをクラウドサービスに提示する代わりにAzure ADが発行するトークンと呼ばれるデータを提示することでクラウドサービスへの認証・認可を済ませる、ということを行います。その結果、Azure ADに既にサインインしていれば、クラウドサービスへのサインインが要らなくなる、つまり「シングルサインオン」が実現するのです。

では、SAMLプロトコルを使ってAzure ADとクラウドサービスを関連付け、クラウドサービスへのシングルサインオンを実現するための手順を見てみたいと思います。設定方法はクラウドサービスによって多少異なりますが、ここでは例として「Dropbox for Business」とAzure ADを関連付ける手順についてみていきます。

クラウドサービスの関連付けはAzure Active Directory管理センター (https://aad.portal.azure.com/) の[エンタープライズ アプリケーション]を使います。[+新しいアプリケーション]から新しく関連付けるクラウドサービスを選択します。

Azure ADではあらかじめ3000種類程度のクラウドサービスがプリセットされており、該当のクラウドサービスを選択すれば、あとは画面に沿って設定するだけで設定が完了するようになっています。ここでは、Dropbox for Businessを選択し、下のような画面を出します。

この画面で設定することは、最低限2つあり、[シングルサインオン]項目からSAMLプロトコルの設定、[ユーザーとグループ]項目からアクセスを許可するユーザーまたはグループの設定を行います。まず、[シングルサインオン]項目では、①欄にサインオンURLとエンティティIDを設定します。サインオンURLは関連付けを行うクラウドサービス側から発行されるURLです(URLの確認方法については後述します)。それからエンティティIDには「Dropbox」と入力しておきます。

続く[シングルサインオン]項目の③欄では[ダウンロード]ボタンをクリックしてSAML署名証明書をダウンロードします。Base64と未加工の2種類がありますが、どちらを使うかは相手のクラウドサービスによって異なります。ちなみにDropbox for BusinessではBase64を使います。
一方、[シングルサインオン]項目の④欄ではDropbox for Businessに設定するパラメータが表示されているので、これを控えておきます。

最後に[ユーザーとグループ]項目ではアクセス許可の設定を行います。Dropbox for Businessへシングルサインオンさせたいユーザーまたはグループを指定してください(グループへのアクセス許可の割り当てにはAzure AD Basic以上のライセンスが必要です)。

Dropbox for Businessの設定画面も見ておきましょう。Dropbox for Businessの管理者としてサインインしたら、[管理コンソール]にアクセスし、[設定]-[シングルサインオン]の順にアクセスすると、シングルサインオン画面が表示されます。それぞれの項目で設定する内容は以下の通りです。

設定項目 設定内容
IDプロバイダのログインURL [シングルサインオン]項目の④欄に表示されるログインURLを設定
アイデンティティプロバイダのログアウトURL [シングルサインオン]項目の④欄に表示されるログアウトURLを設定
X.509証明書 [シングルサインオン]項目の③欄からダウンロードした証明書をインポート
SSO ログインの URL [シングルサインオン]項目の①欄にコピーするURL

[SSO ログインの URL]項目は[リンクをコピー]をクリックすると、クリップボードにURLがコピーされるので、[シングルサインオン]項目の①欄に張り付けてください。

これで設定は完了です。実際にアクセスしてみましょう。
Azure AD経由でクラウドサービスにシングルサインオンするときは、アクセスパネル (https://myapps.microsoft.com/) と呼ばれるユーザー向けポータルサイトがあるので、そこからアクセスします。アクセスパネルにアクセスし、Azure ADのユーザー名とパスワードを入力すると、ご覧のようなページが表示されます。

Dropbox for Businessアイコンをクリックすると、シングルサインオンが始まり、ユーザー名とパスワードを入力することなく、Dropbox for Businessへアクセスできるようになります。

クラウドサービスへのシングルサインオンを行う場合、Azure ADに作られたユーザーと同じ名前のユーザーがクラウドサービス側にも作られていることが前提条件となります。今回は省略しましたが、Dropbox for Business側にもユーザーを作成してからシングルサインオン機能を利用するようにしてください。

筆者紹介
国井 傑 (くにい すぐる)
株式会社ソフィアネットワーク所属。インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとしてインフラ基盤に関わるトレーニング全般を担当。Azure ADを中心としたトレーニングの登壇やトレーニングコースの開発に従事するだけでなく、ブログ等のコミュニティ活動も評価され、2006年からAzure AD/Active Directoryの分野におけるMicrosoft MVPを12年連続で受賞する。
主な著作に『ひと目でわかるAzure Information Protection』 (日経BP)、『徹底攻略MCP問題集 Windows Server 2016』 (インプレスジャパン)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。

 

ゾーホー社員のつぶやき

こんにちは、ゾーホージャパンの前田です。今回は、Azure AD上からSAMLプロトコルを使用したシングルサインオンを実現するための方法について学びました。本コーナーでは、同じシングルサインオンの機能をオンプレミスで提供するツール「ADSelfService Plus」についてご紹介したいと思います。

ManageEngineが提供するADSelfService Plusは、オンプレミスのソフトウェアでありながら、Azure ADと同様にSAML対応のクラウドサービスと連携し、ADSelfService Plusの画面からのシングルサインオンを実現します。プリセットされているサービスは以下の通りです。

また、記載されているサービス以外でも、SAML2.0に対応しているクラウドサービスであれば、カスタムアプリ機能を使用することでシングルサインオン設定が可能です。

■ ADSelfService Plusとは?
Active Directoryのアカウントロック解除/パスワードリセットの運用をセルフサービス化する、Webベースのオンプレミス型ソフトウェアです。セルフサービス化の機能に加えて、パスワード同期/シングルサインオン(SSO)機能も備えており、パスワード/アカウントステータスの変更を複数のクラウドベースおよびオンプレミスのクラウドサービス間でリアルタイムに同期することが可能です。さらに、ADSelfService Plusを経由したサービスへのSSOに対応しています。

ADSelfService Plusについて詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスください。

【ADSelfService Plusの製品ページ】
https://www.manageengine.jp/products/ADSelfService_Plus/

【ADSelfService Plusのダウンロードページ】
https://www.manageengine.jp/products/ADSelfService_Plus/download.html

>> 第7回 Azure ADによるクラウドサービスの管理(2)



▼▼ 過去記事はこちら ▼▼
【MicrosoftのMVP解説!Azure ADの虎の巻】第4回 Azure ADのユーザー・グループの管理(1)
【MicrosoftのMVP解説!Azure ADの虎の巻】第5回 Azure ADのユーザー・グループの管理(2)

▼▼ 別シリーズのブログ記事もチェック! ▼▼
【MicrosoftのMVP解説!Active Directoryのハウツー読本】第1回 Active Directoryの必要性


フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。