シングル サインオンを準備する

発行: 2012年6月

適用対象: Azure, Office 365, Power BI, Windows Intune

注意

このトピックは、中国で Microsoft Azure を使用する場合には当てはまらないことがあります。中国での Azure サービスの詳細については、windowsazure.cn をご覧ください。

シングル サインオンを準備するには、以下の手順を実行します。

  • 手順 1:シングル サインオンの要件を確認する

  • 手順 2:Active Directory の準備

手順 1:シングル サインオンの要件を確認する

この SSO ソリューションを実装するには、以下の要件を満たす必要があります。

  • 複合モードまたはネイティブ モードの機能レベルを使用して、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、または Windows Server 2012 R2 のいずれかで Active Directory が展開され実行中である。

  • STS として AD FS を使用する予定である場合は、以下のいずれかの操作を実行する必要があります。

    • Windows Server 2008 または Windows Server 2008 R2 サーバーに、AD FS 2.0 をダウンロード、インストールおよび展開します。また、ユーザーが企業のネットワークの外部から接続する場合は、AD FS 2.0 プロキシを展開する必要があります。

    • Windows Server 2012 または Windows Server 2012 R2 サーバーに、AD FS ロール サービスをインストールします。

  • STS として Shibboleth Identity Provider を使用する予定である場合は、運用 Shibboleth Identity Provider をインストールして準備する必要があります。

    重要

    Microsoft では、Microsoft クラウド サービス (Microsoft Intune、Office 365 など) とインストール済みで運用可能な Shibboleth ID プロバイダーを統合することで、このシングル サインオン エクスペリエンスをサポートしています。Shibboleth ID プロバイダーはサードパーティ製品なので、Microsoft では、Shibboleth ID プロバイダーに関する展開、構成、トラブルシューティング、ベスト プラクティスなどの問題や質問に対するサポートを提供していません。Shibboleth Identity Provider の詳細については、http://go.microsoft.com/fwlink/?LinkID=256497 を参照してください。

  • セットアップする STS の種類に基づいて、Windows PowerShell 用 Microsoft Azure Active Directory モジュール を使用して、オンプレミス STS と Azure AD の間でフェデレーションによる信頼関係を確立します。

  • Microsoft クラウド サービスのサブスクリプションに必要な更新プログラムをインストールして、ユーザーが Windows 7、Windows Vista、または Windows XP のいずれかの最新の更新プログラムを実行していることを確認します。一部の機能は、オペレーティング システム、ブラウザー、およびソフトウェアのバージョンが適切でないと、正しく機能しないことがあります。詳細については、「Appendix A: Review software requirements」を参照してください。

手順 2:Active Directory の準備

Active Directory では、シングル サインオンと適切に連携するために、特定の設定が構成されている必要があります。特に、ユーザー ログオン名とも呼ばれるユーザー プリンシパル名 (UPN) を、各ユーザーに固有の方法でセットアップする必要があります。

注意

シングル サインオン向けに Active Directory 環境を準備するには、Microsoft 準備展開ツール を実行することを推奨します。このツールは、Active Directory 環境を検査し、シングル サインオンをセットアップする準備ができているかどうかに関する情報が含まれるレポートを提供します。準備ができていない場合は、シングル サインオンを準備するために行う必要がある変更を示します。たとえば、ユーザーに UPN があるかどうか、またそれらの UPN が適切な形式であるかどうかを検査します。

ドメインによっては、以下の操作を行う必要が生じる場合があります。

  • ユーザーにより UPN が設定され、認識される必要がある。

  • UPN ドメイン サフィックスは、シングル サインオン用にセットアップしたドメインの下に存在する必要がある。

  • フェデレーションの対象に選択したドメインは、ドメイン レジストラーが付属する、または独自のパブリック DNS サーバー内のパブリック ドメインとして登録されている必要がある。

  • UPN を作成するには、「ユーザー プリンシパル名サフィックスを追加する」の Active Directory に関するトピックの手順に従います。シングル サインオンに使用する UPN には、英数字、ピリオド、ダッシュ、およびアンダースコアのみを含めることができる点に留意してください。

  • Active Directory ドメイン名がパブリック インターネット ドメインではない (たとえば、末尾が ".local" サフィックスである) 場合は、パブリックに登録可能なインターネット ドメイン名の下にあるドメイン サフィックスを含むように UPN を設定する必要があります。電子メール ドメインなど、ユーザーにわかりやすい情報を使用することを推奨します。

  • 既に Active Directory 同期をセットアップしている場合は、ユーザーの UPN を、Active Directory で定義されているユーザーのオンプレミス UPN と一致させないでください。この問題を修正するには、Windows PowerShell 用 Microsoft Azure Active Directory モジュール で Set-MsolUserPrincipalName コマンドレットを使用して、ユーザーの UPN を名前変更します。

関連項目

概念

DirSync とシングル サインオン