DirSync とシングル サインオン
更新日: 2015 年 6 月 25 日
適用対象: Azure、Office 365、Power BI、Windows Intune
シングル サインオン (ID フェデレーションとも呼ばれます) は、既存の Active Directory 企業資格情報を使用して、Office 365やMicrosoft Intuneなどのクラウド サービスにシームレスにアクセスするユーザーの機能を簡素化する場合に実装できる、Azure Active Directoryのハイブリッド ベースのディレクトリ統合シナリオです。 シングル サインオンできない場合、ユーザーはオンラインおよびオンプレミス アカウント用に別のユーザー名とパスワードを維持する必要があります。
STS は、境界領域ネットワーク、パートナー ネットワークおよびクラウドなど実質的にすべての場所に存在する Web アプリケーションおよびサービスに、承認、認証および SSO の考えを拡張する ID フェデレーションを可能にします。 Microsoft クラウド サービスによるシングル サインオン アクセスを提供するように STS を構成する場合、オンプレミスの STS と Azure AD テナントで指定したフェデレーション ドメインの間で、フェデレーションによる信頼関係を作成します。
Azure AD では、次のいずれかの Security Token Service を使用するシングル サインオン シナリオをサポートしています:
Active Directory フェデレーション サービス (AD FS)
Shibboleth ID プロバイダー
サードパーティの ID プロバイダー
次の図に、1 つ以上のクラウド サービスにアクセスを提供するために、オンプレミスの Active Directory と STS サーバー ファームがどのように Azure AD の認証システムと通信するかを示します。 シングル サインオンを設定する場合、STS および Azure AD 認証システムの間にフェデレーションによる信頼を構築します。 ローカルの Active Directory ユーザーは、フェデレーションによる信頼を介してユーザーの要求をリダイレクトする、オンプレミスの STS から認証トークンを取得します。 これにより、ユーザーは別の資格証明を使用する必要なく、サブスクライブしているクラウド サービスにシームレスにアクセスできます。
.jpg "Directory sync with single sign-on scenario")
このシナリオを導入することの利点
シングル サインオンを実装すると、ユーザーには明確な利点があります。これにより、会社の資格情報を使用して、会社がサブスクライブしているクラウド サービスにアクセスできます。 ユーザーが改めてサインインして、複数のパスワードを記憶する必要はありません
ユーザーだけでなく、管理者にも多くのメリットがあります。
ポリシー制御: 管理者は Active Directory を使用してアカウント ポリシーを制御できます。これにより、管理者は、クラウドで追加のタスクを実行することなく、パスワード ポリシー、ワークステーションの制限、ロックアウト制御などを管理できます。
アクセス制御: 管理者はクラウド サービスへのアクセスを制限して、企業環境、オンライン サーバー、またはその両方を介してサービスにアクセスできるようにします。
サポート呼び出しの削減: パスワードを忘れた場合は、すべての企業で一般的なサポート呼び出しのソースになります。 ユーザーが記憶するパスワードの数が減ることで、忘れる可能性も低くなります。
セキュリティ: シングル サインオンで使用されるすべてのサーバーとサービスが、オンプレミスでマスターおよび制御されるため、ユーザー ID と情報は保護されます。
強力な認証のサポート: クラウド サービスでは、強力な認証 (2 要素認証とも呼ばれます) を使用できます。 ただし、強力な認証を使用する場合は、シングル サインオンを使用する必要があります。 強力な認証の使用には制限があります。 STS に AD FS を使用する場合は、「 AD FS 2.0 の高度なオプションの構成 」を参照してください。
このシナリオがユーザーのクラウドベースのサインオン エクスペリエンスに与える影響
シングル サインオンでのユーザー エクスペリエンスは、ユーザー コンピューターがどのように企業ネットワークと接続されているか、ユーザー コンピューターで何のオペレーティング システムが実行されているか、管理者が Azure AD との通信に STS インフレストラクチャをどのように構成しているかによって異なります。
ここでは、ネットワーク内部からのシングル サインオンのユーザー エクスペリエンスについて説明します。
- 企業ネットワーク上の職場のコンピューター: ユーザーが職場にいて企業ネットワークにサインインしている場合、シングル サインオンを使用すると、ユーザーは再びサインインせずにクラウド サービスにアクセスできます。
ユーザーが企業ネットワークの外から接続しようとしている、または次のように特定のデバイスやアプリケーションからサービスにアクセスしようとしたりしている場合、STS プロキシを展開する必要があります。 STS に AD FS を使用する予定の場合は、「 チェックリスト: AD FS を使用してシングル サインオンを実装および管理 する」を参照してください。AD FS プロキシを設定する方法の詳細については、「>
職場のコンピューター、ローミング: 会社の資格情報を使用してドメインに参加しているコンピューターにログオンしているが、企業ネットワークに接続していないユーザー (自宅やホテルの職場のコンピューターなど) は、クラウド サービスにアクセスできます。
自宅または公共のコンピューター: ユーザーが企業ドメインに参加していないコンピューターを使用している場合、ユーザーはクラウド サービスにアクセスするために会社の資格情報でサインインする必要があります。
スマートフォン:スマートフォンでは、Microsoft Exchange ActiveSync を使用してMicrosoft Exchange Onlineなどのクラウド サービスにアクセスするには、ユーザーが会社の資格情報でサインインする必要があります。
Microsoft Outlookまたはその他の電子メール クライアント: ユーザーは、Outlookを使用している場合や、Officeに含まれていない電子メール クライアント (IMAP や POP クライアントなど) を使用している場合は、電子メールにアクセスするために会社の資格情報を使用してサインインする必要があります。
STS として Shibboleth を使用している場合、スマートフォン、Microsoft Outlook、その他のクライアントでシングル サインオンを使用できるように、Shibboleth Identity Provider ECP 拡張機能をインストールすることをお勧めします。 詳細については、「 シングル サインオンで使用するように Shibboleth を構成する」を参照してください。
組織にこのシナリオを導入しますか。
その場合は、「 シングル サインオン ロードマップ」で説明されている手順に従って開始することをお勧めします。