社内認証を使用した単一フォレスト ハイブリッド環境の ID 管理
このガイドの目的
企業ユーザーは、任意の場所と任意のデバイスからクラウドに存在するアプリケーションを使用できるようにしたいと考えますが、認証方法がないため、実現できません。企業の IT は、ユーザーがこれらのクラウド アプリケーションに対して認証できるようにするほか、これらのアプリケーションにアクセスできるユーザーをリアルタイムで制御できる機能も必要としています。
このガイドでは、ユーザーが任意の場所と任意のデバイスからクラウドに存在するアプリケーションに簡単にアクセスできるように、社内ディレクトリとクラウド ディレクトリを統合する方法に関するガイダンスを提供します。これは社内認証を使用して実現します。クラウド認証を使用する例については、「クラウド認証を使用した単一フォレスト ハイブリッド環境の ID 管理」を参照してください。
.jpeg "オンプレミスの問題")
このソリューション ガイドの内容:
シナリオ、問題の説明、および目標
このソリューションの推奨される計画と設計のアプローチ
この設計を推奨する理由
このソリューションを実装する手順の概要
シナリオ、問題の説明、および目標
このセクションでは、例として取り上げた組織のシナリオ、問題の説明、および目標について説明します。
通信の種類
組織は、北米と南米、ヨーロッパ、アジアを含む世界中にオフィスを持つ大企業です。研究開発 (R & D) チームは主に北米とヨーロッパで活動しています。チームは、主にアジアにある製造センターで使用される製法を開発しています。
R & D チームは、新しい製法の開発や既存の製法の改良時に、緊密に協力し合います。これは、北米とヨーロッパの施設で同様の標準化されたテストを実行し、結果を共有することによって実現しています。結果が最終決定され、新しい製法が開発されます。これらの製法は企業秘密とされ、特許を取得します。このプロセスが完了すると、製法が製造施設に送られ、生産が開始されます。
現在、研究開発チームのメンバーが、会社の相手側チームのメンバーと結果を共有したり、製法をアジアのいずれかの工場に送ったりする必要がある場合、チームでは、暗号化ファイル システム (EFS) を使用して、ファイルを暗号化して電子メールで送信しています。そして、相手側のユーザーはファイルの暗号化を解除します。
組織では、現在のプロセスにいくつかの問題を抱えています。
プライバシー: データは電子メールで転送され、暗号化されますが、インターネット上でハッキングされる恐れがあります。また、多くの従業員が各自のデバイスから電子メールにアクセスしており、それらのデバイスが安全である保証はありません。
整合性: ファイルの暗号化に使用した EFS 証明書は、エクスポートして、宛先に送信する必要があります。ユーザーは電子メールを使用して、それらの証明書を送信するため、証明書の整合性に違反する可能性があります。
機密性: 同じ証明書が、テスト結果と製法の暗号化に使用されることがあります。製造工場の従業員は、誤ってこれらのコピーを取得した場合に、これらの結果の暗号化を解除することができます。
こうした問題に対処するため、組織ではクラウドに Office 365 SharePoint をセットアップし、これをテスト結果と製法を共有するためのポータルとして使用することを決定しました。ただし、組織は認証プロバイダーとして、社内 Active Directory を使用し、クラウド認証を使用しないことを考えています。
問題の説明
組織では現在、社内 Active Directory の認証プロバイダーを使用していますが、このプロバイダーは現在、Azure でホストされる新しい Office 365 SharePoint サイトに対して従業員を認証できません。
組織で解決する必要がある全体的な問題は、次のようになります。
システム設計者または IT 管理者は、ユーザーが社内のリソースとクラウドベースのリソースにアクセスする際の共通の ID を提供するには、どうすればよいでしょうか。さらに、過度の IT リソースを使用せずに、これらの ID を管理し、複数の環境間で情報を同期させるには、どうすればよいでしょうか。
組織の SharePoint サイトへのアクセスを提供するには、Active Directory の社内インスタンスの認証プロバイダーで、従業員を認証できる必要があります。また、組織はサイトへのアクセスを必要とする R & D と製造担当の従業員だけに、アクセスを制限する必要もあります。現在、サイトにアクセスする必要があるユーザーはそれらの従業員だけです。
オプションを調査し、Azure で社内認証を使用するために、Active Directory フェデレーション サービス (AD FS) の既存のインスタンスを利用できると判断しました。組織では数年前に AD FS をセットアップしています。これにより、IT 担当者は既に AD FS の使用に精通しているため、時間とコストの節約になります。
経営側は、Office 365 および Azure サブスクリプションの購入を承認しました。これで、Active Directory 管理者は、Azure AD のインスタンスをセットアップし、社内 Active directory でそのフェデレーションを実行する責任があります。
Active Directory 管理者は、社内 Active Directory を利用して、Azure AD のインスタンスを作成できる必要があります。Active Directory 管理者はこれを迅速に実行できる必要があります。次に、Active Directory 管理者は Azure AD で Active Directory の社内インスタンスのフェデレーションを行う必要があります。また、組織では、SharePoint サイトにアクセスする従業員が真のシングル サインオン エクスペリエンスを獲得し、企業ネットワークにログオンしたときにのみ、サイトにアクセスできるようにする必要があります。組織では、これらのサイトに外部のコンピューターまたはデバイスからアクセスされないようにする必要があります。組織では、ユーザーのアカウントが無効になった後に、ユーザーが SharePoint サイトにアクセスできないように、分離の発生時すぐにユーザーを無効にする機能が必要です。最後に、組織では、ユーザーに企業サイトにログインしていることがわかるように、サインイン ページをカスタマイズできるようにしたいと考えています。
組織の目標
組織のハイブリッド ID ソリューションの目標は、次のようになります。
Active Directory の社内インスタンスとの同期を迅速にセットアップできること。
Azure AD に同期させるユーザーおよび対象を制御できること。
シングル サインオン (SSO) を提供できること。同期または SSO のいずれかが停止した場合、アラートを受信する。
セキュリティ保護された社内の場所からサインインする R&D と製造担当のユーザーのみにアクセスを制限できること。
分離が発生した場合に、クラウド リソースへのリアルタイムのユーザー アクセスを防ぐことができること。
社内 ID システムを迅速にクリーンアップし、それらを Azure AD のソースにできるように適切に管理できること。
企業の ID を提示するように、サインイン ページをカスタマイズできること。
このソリューションの推奨される計画と設計のアプローチ
このセクションでは、前のセクションで説明した問題に対処するソリューション設計について説明し、この設計の計画に関する考慮事項の概要を説明します。
Azure AD を使用することで、組織は Active Directory の社内インスタンスと Azure AD インスタンスを統合できます。このインスタンスを使用して、ユーザーを AD FS サインイン ページにリダイレクトし、そこでユーザーにトークンが発行され、Azure AD に提示されて、認証が与えられます。
.jpeg "オンプレミス ソリューション")
次の表では、このソリューション設計の一部である要素の一覧を示し、設計で選択されている理由を説明します。
ソリューションの設計要素 |
このソリューションに含める理由 |
|---|---|
Azure Active Directory 同期ツール |
社内ディレクトリ オブジェクトと Azure AD を同期させるために使用します。このテクノロジの概要については、「ディレクトリ同期のロードマップ」を参照してください。 |
Active Directory フェデレーション サービス |
Active Directory をその ID ストアとして使用するセキュリティ トークン サービス (STS) である Windows Server 2012 R2 の機能です。AD FS の STS は、OAuth、WS-Trust、WS-Federation、Security Assertion Markup Language (SAML) 2.0など、さまざまなプロトコルを使用して、呼び出し元にセキュリティ トークンを発行できます。このテクノロジの概要については、「Active Directory フェデレーション サービスの概要」を参照してください。 |
IdFix DirSync エラー修復ツール |
Active Directory フォレスト内のオブジェクト同期エラーの大半を特定し、修復する機能を提供します。このテクノロジの概要については、「IdFix DirSync エラー修復ツール」を参照してください。 |
AD FS は、社内 Active Directory と Azure AD 間のフェデレーションを可能にする Windows Server 2012 R2 の機能です。この機能により、ユーザーは SSO エクスペリエンスを使用して、Azure AD サービス (Office 365、Intune、CRM Online など) にログインできます。これにより、ユーザーは社内 Active Directory インスタンスを認証プロバイダーとして使用する SSO を得ることができます。
IdFix DirSync エラー修復ツールは、移行に備えて、社内 Active Directory 環境の ID オブジェクトおよびそれらの属性の検出と修復を実行するために使用できます。これにより、同期を開始する前に、同期によって発生する可能性のある問題を速やかに識別できます。この情報を使用して、これらのエラーを回避できるように、環境を変更することができます。
この設計を推奨する理由
この設計が推奨されるのは、組織の設計目標に対処しているためです。つまり、Azure ベースのリソースに認証を提供する方法には、クラウド認証を経由するか、または STS を使用した社内認証を経由する 2 つの方法があります。
組織の主な懸念事項の 1 つは、会社から分離された可能性のあるユーザーのクラウドベースのリソースへのアクセスをリアルタイムで停止できる機能を備えることです。Azure Active Directory 同期ツールの使用とクラウド認証に関して、最大 3 時間の遅延が発生します。つまり、社内でユーザー アカウントを無効にした場合、その変更が Azure に反映されるまで最大 3 時間かかることがあります。これは、ユーザーが社内環境に戻ってから認証する必要がある場合には当てはまりません。ユーザー アカウントが社内で無効にされている場合、そのユーザーはトークンを受信することができず、クラウド リソースにアクセスするための認証が行われません。
組織では、SSO を提供できる必要があります。これは、Azure AD によって、Active Directory の社内インスタンスをフェデレーションするだけで実現できます。
サインイン ページをカスタマイズする機能は、AD FS と AD FS のカスタマイズを使用するだけで利用できるようになります。
このソリューションを実装する手順の概要
このセクションに示した手順を使用して、ソリューションを実装します。各手順の内容が正常に完了したことを確認してから、次の手順に進んでください。
シングル サインオン (SSO) を準備する
準備するためには、環境が SSO の要件を満たしていることを確認し、Active Directory と Azure AD テナントが SSO 要件と互換性があるようにセットアップされていることを確認する必要があります。詳細については、「シングル サインオンを準備する」を参照してください。
社内セキュリティ トークン サービス (AD FS) をセットアップする
SSO のための環境の準備ができたら、ローカルおよびリモート Active Directory ユーザーにクラウド サービスへの SSO アクセスを提供するために、新しい社内 AD FS インフラストラクチャをセットアップする必要があります。現在、運用環境で AD FS を使用している場合、それが Azure AD でサポートされている限り、新しいインフラストラクチャをセットアップするのではなく、それを SSO の展開に使用できます。AD FS STS のセットアップを開始する方法の詳細については、「チェックリスト: AD FS によるシングル サインオンを実装して管理する」で説明する手順に従ってください。
AD FS によるシングル サインオンのために Windows PowerShell をインストールする
Windows PowerShell 用の Azure AD モジュールは、Azure AD で組織のデータを管理するためのダウンロードです。このモジュールにより、Azure AD への SSO アクセスをセットアップし、次にサブスクライブしているすべてのクラウド サービスをセットアップするために実行する Windows PowerShell の一連のコマンドレットがインストールされます。詳細については、「AD FS によるシングル サインオンに必要な Windows PowerShell をインストールする」を参照してください。
AD FS と Azure AD 間の信頼関係をセットアップする
Azure AD と社内 Active Directory 間の信頼関係を確立する必要があります。フェデレーションを行う各ドメインは、シングル サインオン ドメインとして作成するか、標準のドメインをシングル サインオン ドメインに変換する必要があります。ドメインを追加するか変換して、AD FS と Azure AD 間の信頼関係をセットアップします。詳細については、「AD FS と Windows Azure AD の信頼関係を設定する」を参照してください。
ディレクトリ同期を準備する
システム要件を確認し、適切なアクセス許可を作成して、パフォーマンスに関する考慮事項を検討します。詳細については、「ディレクトリ同期を準備する」を参照してください。この手順を完了したら、選択したソリューション設計オプションを示すワークシートが完成していることを確認します。
ディレクトリ同期をアクティブ化する
会社のディレクトリ同期をアクティブにします。詳細については、「ディレクトリ同期を準備する」を参照してください。この手順を完了したら、機能が構成されていることを確認します。
ディレクトリ同期コンピューターをセットアップする
Windows Azure AD 同期ツールをインストールします。既にインストールしている場合は、アップグレード、アンインストール、または他のコンピューターへの移動方法を学習します。詳細については、「ディレクトリ同期用コンピューターをセットアップする」を参照してください。この手順を完了したら、機能が構成されていることを確認します。
ディレクトリを同期する
初期同期を実行し、データが正常に同期されていることを確認します。また、Azure AD 同期ツールを構成して、定期的な同期をセットアップする方法およびディレクトリ同期を強制的に実行する方法についても学習します。詳細については、「構成ウィザードを使用してディレクトリを同期する」を参照してください。この手順を完了したら、機能が構成されていることを確認します。
同期ユーザーのアクティブ化
サブスクライブしたサービスを使用する前に、Office 365 ポータルでユーザーをアクティブにします。これには、Office 365 を使用するライセンスをユーザーに割り当てることが含まれます。これは個別に行うことも、一括で行うこともできます。詳細については、「同期ユーザーのアクティブ化」を参照してください。この手順を完了したら、機能が構成されていることを確認します。これは、オプションの手順で、Office 365 を使用している場合にのみ必要であることに注意してください。
ソリューションを確認します。
ユーザーが同期されたら、https://myapps.microsoft.com へのログインをテストします。AD FS サインイン ページにリダイレクトされるはずです。サインインして、AD FS がユーザーを認証したら、ユーザーは https://myapps.microsoft.com にリダイレクトされます。Office 365 アプリケーションがある場合は、ここにそれらが表示されます。通常のユーザーは、Azure サブスクリプションを必要とせずにここからログインできます。
参照
コンテンツの種類 |
参考資料 |
製品評価/はじめに |
テスト ラボ ガイド: DirSync とパスワード同期を使用した Windows Azure AD と Windows Server AD 環境の作成 テスト ラボ ガイド: フェデレーション (SSO) による Windows Azure AD と Windows Server AD 環境の作成 |
計画と設計 |
|
展開 |
|
操作 |
|
サポート |
|
参照 |
|
コミュニティのリソース |
|
関連ソリューション |
Configuration Manager と Windows Intune に移行してモバイル デバイスと PC を管理 |
関連テクノロジ |