【やまなか日記】第4回Office 365のフェデレーションIDとディレクトリ同期

今日はフェデレーションIDとディレクトリ同期でのID管理方法を学んでいきますヽ(o゚ェ゚o)ノ

フェデレーションってどんなもの?

やまなか「フェデレーションって…なんですか???」
三瓶先生「(板書サラ~~~)」

フェデレーションとは、昔から利用されているシングルサインオンの手法の一つです。
一度Active Directoryにユーザー名とパスワードでサインインすれば、AD FSサーバーが連携されたクラウドサービスへサインインするための、トークンを発行してくれます。
AD FSを使うことによって、UPNやパスワードをクラウド上に同期することなく、普段使用しているメールアドレスでOffice 365を使用することができるようになります。
また、デバイスごとの細かいアクセス制限が可能で、規模の大きな会社やセキュリティポリシーの厳しい会社で採用されています。
ただ、AD FSを利用したID連携では、AD FSサーバーの冗長化が必須なので、初期コストがとてもかかってしまうという点で導入がためらわれることがあります(;´-`)

Azure AD Connectの新しい機能とは?

これまでのディレクトリ同期では、シングルサインオンとアクセス制御ができませんでした。
しかし、2017年に発表された新しい「シームレスSSO」という機能によって、AD FSを設置しなくてもフェデレーションと同じような機能が使えるようになりました。
 

三瓶先生のワンポイントレッスン
Azure AD Connectの最新版に実装された新しい機能として、「シームレスSSO」というものがあります。
従来であればAD FSを構築する必要があったものが、パススルー認証とシームレスSSO機能を組み合わせることで、ドメインに参加しているPCからOffice 365へのアクセスをブラウザ経由で行う際に、ユーザー名 / パスワードを聞かれることなく可能となります。
技術的な詳しい仕組みについては、以下の情報がわかりやすいです。
Azure Active Directory シームレス シングル サインオン: 技術的な詳細 | Microsoft Docs
ただし、パススルー認証の場合は、サインインに必要な認証はエージェント経由でActive Directoryに問い合わせるため、Azure AD Connectのサーバーがダウンした場合はサインインできなくなる危険性があります。
この点を考慮すると、パスワード同期 + シームレスSSOの構成にしておくことで、冗長構成を必須とすることなく、シングルサインオン環境を手に入れることができる、最もリーズナブルな方法ではないでしょうか。
注意することとしては、Azure AD Connectのみではデバイス制御などの高度な操作はできませんので、Azure AD Premiumを使った条件付アクセス、EMSを使ったセキュリティ対応なども検討する必要があります。このあたりは、コストと要件のバランスを見ながら方針を決定することになります。

まとめ

AD FSの良い点は、細かいアクセス制限やシングルサインオンが可能という点です。
一方で、AD FSサーバーの冗長化が必須で、コストがかかってしまう点が悪い点と言えます。
ただ、ディレクトリ同期でも「シームレスSSO」という機能が利用できるようになったため、規模の小さな会社でも同じような機能を使うことができるようになりました。

Office 365をもっと詳しく知りたい方は「Office 365 なんでも相談会」にぜひご参加ください。
Office 365 なんでも相談会では、「Office 365 の導入にあたっての相談や具体的な確認がしたい」という様々な要望にお客様の社内状況を考慮した最適な回答をしております。

AWS移行支援キャンペーン

あなたにおすすめの記事