Reading Time: 1 minutes
・ 例として、TwitterへのSSOを実現する方法について解説
前回はSAMLプロトコルを利用して、Azure ADとSaaS型クラウドサービスの関連付けを行い、Azure ADにサインインするだけでクラウドサービスへのアクセスが実現するシングルサインオンの設定について解説をしました。今回はAzure ADとクラウドサービスの関連付けを行う方法の第2弾として、SAMLプロトコルをサポートしないSaaS型クラウドサービスとの間でシングルサインオンを実現する方法について解説します。
SAMLプロトコルをサポートしないクラウドサービスとの間でシングルサインオンを実現する場合、クラウドサービスにアクセスするためのユーザー名とパスワードをAzure ADにキャッシュさせておき、クラウドサービスにアクセスするタイミングになったときに自動的に提示することで、シングルサインオンを実現します。
では、ユーザー名とパスワードを自動入力することでクラウドサービスへのアクセスがシングルサインオン化する、Azure ADとクラウドサービスの関連付け方法についてみていきます。ここでは例としてTwitterを利用してAzure ADと関連付けします。
クラウドサービスの関連付けはSAMLプロトコルをサポートするクラウドサービスと同様にAzure Active Directory管理センター (https://aad.portal.azure.com/) の[エンタープライズ アプリケーション]を使います。[+新しいアプリケーション]から新しく関連付けるクラウドサービスとしてTwitterを選択すると、TwitterとAzure ADを関連付ける方法を[シングルサインオン]項目から選択できます。ユーザー名とパスワードをキャッシュするタイプの関連付けを行う場合、[パスワードベース]を選択します。シングルサインオン設定についてはこれだけで完了です。SAMLベースのシングルサインオンに比べると、ずいぶんとシンプルな構成であることがわかります。
続いてTwitterを利用するユーザーを選択します。Azure管理ポータル画面で[ユーザーとグループ]から[ユーザーの追加]をクリックし、ユーザーまたはグループを追加します。ユーザーを追加するときに[資格情報の割り当て]を利用すると、Twitterにアクセスするときのユーザー名とパスワードを事前に割り当てておくこともできます(ただし、実際にはシングルサインオン設定を行う管理者が各ユーザーのTwitterパスワードを知ることはないでしょうから、あまり使うことはないと思います)。
これで設定は完了です。実際にアクセスしてみましょう。
Azure AD経由でクラウドサービスにシングルサインオンするときは、SAMLベースのシングルサインオンのときと同じく、アクセスパネル(https://myapps.microsoft.com/)からアクセスします。アクセスパネルにアクセスし、Azure ADのユーザー名とパスワードを入力して、アプリ一覧のページにアクセスします。ここから TwitterをクリックするとTwitterへのシングルサインオンが実現します。
このとき、Twitterをクリックすると、Azure ADにキャッシュされているユーザー名とパスワードを自動入力しますが、自動入力機能はブラウザーの拡張機能によって実現するため、初回アクセス時だけ拡張機能を追加しておく必要があります(拡張機能の追加が必要な場合は自動的に下の画面のようなメッセージが表示され、指示に従いインストールできる)。なお、拡張機能はMicrosoft Edge、Internet Explorer、Google Chrome、Firefox用がそれぞれ用意されています。
拡張機能が追加できたら、改めてTwitterをクリックします。すると、今度はユーザー名とパスワードを入力する画面で止まってしまいます。これはまだAzure ADにパスワードがキャッシュされていないためです。そこで、初回アクセス時だけユーザー名とパスワードを入力します。すると、次回からは自動的にユーザー名とパスワードが入力され、シングルサインオンが実現します。
今回はプリセットされたクラウドサービスの中からTwitterを選択して追加しましたが、プリセットされたクラウドサービスに追加したいクラウドサービスがない場合には、Azure AD Premium P1以上のライセンスを保有していれば任意のクラウドサービスを追加することもできます。
Azure Active Directory管理センターの[エンタープライズ アプリケーション]から[ギャラリー以外のアプリケーション]を選択し、[シングルサインオン]項目から[パスワードベース]を選択するとサインイン画面のURLを登録できます。
URLを登録すると、Azure ADが自動的にログインページを認識し、ユーザー名を入力するとテキストボックス、パスワードを入力するテキストボックスを識別してくれます。これにより、アクセスパネルからアクセスするときに自動的にユーザー名とパスワードを入力し、シングルサインオンができるようになります。
株式会社ソフィアネットワーク所属。インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとしてインフラ基盤に関わるトレーニング全般を担当。Azure ADを中心としたトレーニングの登壇やトレーニングコースの開発に従事するだけでなく、ブログ等のコミュニティ活動も評価され、2006年からAzure AD/Active Directoryの分野におけるMicrosoft MVPを12年連続で受賞する。
主な著作に『ひと目でわかるAzure Information Protection』 (日経BP)、『徹底攻略MCP問題集 Windows Server 2016』 (インプレスジャパン)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。
ゾーホー社員のつぶやき
こんにちは、ゾーホージャパンの前田です。今回は、Azure AD上からSAMLプロトコルを使用せずにシングルサインオンを実現するための方法について学びました。本コーナーでは、Azure ADに対するアプリケーションの関連付けや、アクセスパネルを経由したアプリケーションへのログオンなど、Azure AD上で発生する様々なイベントを可視化するツール「ADAudit Plus」についてご紹介します。
ManageEngineが提供するADAudit Plusは、オンプレミス(Active Directory)とクラウド(Azure AD)の双方のログを一元的に管理し、あらかじめ用意されている豊富なレポートを元に、「誰でも、簡単に」ログを監査することが可能となります。
※Azure ADにTwitterを追加した場合、ADAudit Plusには以下のように表示されます。
[最近追加されたアプリケーション] レポート
また、下記URLにAzure AD監査機能についてご紹介する動画を公開していますので、ご興味のある方は是非アクセスいただければと思います。
https://www.manageengine.jp/products/ADAudit_Plus/features.html#azuread
■ ADAudit Plusとは?
Active Directoryのログをリアルタイムで収集して、200以上のレポートで可視化、およびアラート通知などを行うWebベースのオンプレミス型ソフトウェアです。ドメイン上で管理されている、ドメインコントローラー/ファイルサーバー/メンバーサーバー/PCなどのITリソース、およびユーザー/グループ/ポリシーなどのオブジェクト情報から、簡単に監査レポートを作成します。
ADAudit Plusについて詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスください。
【ADAudit Plusの製品ページ】
https://www.manageengine.jp/products/ADAudit_Plus/
【ADAudit Plusのダウンロードページ】
https://www.manageengine.jp/products/ADAudit_Plus/download.html
>> 第8回 Azure ADによるクラウドサービスの管理(3)
▼▼ 過去記事はこちら ▼▼
第5回 Azure ADのユーザー・グループの管理(2)【MicrosoftのMVP解説!Azure ADの虎の巻】
第6回 Azure ADによるクラウドサービスの管理(1)【MicrosoftのMVP解説!Azure ADの虎の巻】
▼▼ 別シリーズのブログ記事もチェック! ▼▼
【MicrosoftのMVP解説!Active Directoryのハウツー読本】第1回 Active Directoryの必要性
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。