シングル サインオンのロードマップ
更新日: 2015 年 6 月 25 日
適用対象: Azure、Office 365、Power BI、Windows Intune
シングル サインオン (SSO) を使用すると、管理者とユーザーは Active Directory の会社資格情報を使って、マイクロソフトのクラウド サービスにアクセスすることができます。 SSO は、セキュリティ トークン サービス (STS) インフラストラクチャと Active Directory 同期の両方を必要とします。
SSO を実装するには、以下のステップを完了する必要があります。
手順 1: シングル サインオンの準備
手順 2: オンプレミスのセキュリティ トークン サービスを設定する
手順 3: ディレクトリ同期を設定する
手順 4: シングル サインオンを確認する
手順 1: シングル サインオンの準備
準備するには、環境が SSO の要件を満たしていることを確認し、Active Directory テナントと Azure Active Directory テナントがシングル サインオン要件と互換性のある方法で設定されていることを確認する必要があります。 詳細については、「シングル サインオンを準備する」を参照してください。
手順 2: オンプレミスのセキュリティ トークン サービスを設定する
シングル サインオン用に環境を準備した後、ローカルおよびリモートの Active Directory ユーザーに対して、クラウド サービスへのシングル サインオン アクセスを提供するように、新しい内部設置型 STS インフラストラクチャをセットアップします。 現在運用環境に STS がある場合は、Azure AD でサポートされている限り、新しいインフラストラクチャを設定するのではなく、シングル サインオンデプロイに使用できます。
Azure AD は現在、以下のいずれかのセキュリティ トークン サービスをサポートしています。
Active Directory フェデレーション サービス (AD FS)
AD FS STS のセットアップを開始する方法の詳細については、「 チェックリスト: AD FS を使用してシングル サインオンを実装および管理する」の手順に従ってください。
Shibboleth ID プロバイダー
Shibboleth STS のセットアップを開始する方法の詳細については、「 Shibboleth Identity Provider を使用してシングル サインオンを実装する」で説明されている手順に従います。
その他のサードパーティの ID プロバイダー
シングル サインオン用にサード パーティ ID プロバイダーを設定する方法の詳細については、「Azure Active Directoryフェデレーション互換性リスト: シングル サインオンの実装に使用できるサード パーティ ID プロバイダー」を参照してください。
手順 3: ディレクトリ同期を設定する
シングル サインオンを正常に動作させるには、Active Directory 同期も設定する必要があります。 この作業には、ディレクトリ同期の準備、アクティブ化、ツールのインストール、および確認が含まれます。 ディレクトリ同期の確認が完了したら、同期済みユーザーをアクティブ化します。 シングル サインオンとディレクトリ同期を一緒に使用すると、クラウド サービスでユーザー ID が正しく表されることが保証されます。
ディレクトリ同期の設定を開始する方法の詳細については、「ディレクトリ同期 ロードマップ」で説明されている手順に従ってください。
手順 4: シングル サインオンを確認する
Active Directory 同期環境のセットアップが終了した後、STS が想定どおりに機能していること、およびシングル サインオンがクラウド サービスに対して適切にセットアップされたことを確認する必要があります。
詳細については、設定する STS の種類に応じて、「 AD FS でのシングル サインオンの確認と管理 」または「 Shibboleth でのシングル サインオンの確認」を参照してください。