クラウド認証を使用した単一フォレスト ハイブリッド環境の ID 管理

 

このガイドの目的

企業ユーザーは、任意の場所と任意のデバイスからクラウドに存在するアプリケーションを使用できるようにしたいと考えますが、認証方法がないため、実現できません。

このガイドでは、ユーザーが任意の場所と任意のデバイスからクラウドに存在するアプリケーションに簡単にアクセスできるように、社内ディレクトリとクラウド ディレクトリを統合する方法に関する規範的で試験済みの設計を提供します。このアクセスはクラウド認証を使用して行うことができます。社内認証を使用する例については、「社内認証を使用した単一フォレスト ハイブリッド環境の ID 管理」を参照してください。

クラウド認証の問題

このソリューション ガイドの内容:

  • シナリオ、問題の説明、および目標

  • このソリューションの推奨される計画と設計のアプローチ

  • この設計を推奨する理由

  • このソリューションを実装する手順の概要

シナリオ、問題の説明、および目標

このセクションでは、このガイドの例として役に立つ、シナリオ、問題の説明、および組織の目標について説明します。

通信の種類

組織は中規模企業です。組織の営業担当者は至る所で作業します。販売を行ったときには、ハブの場所から、または VPN 経由で企業ネットワークに参加しているコンピューターにアクセスし、企業ネットワークで実行されているカスタム アプリケーションにその販売を入力する必要があります。

これらの販売は、常にリアルタイムで記録されるわけではないため、インベントリの管理を困難にしています。これにより、入荷待ちや遅延が発生していました。さらに、営業担当者は、客先にいるときに、企業ネットワークにアクセスできない場合があることに不満を持っており、自分のタブレットやスマートフォンから情報を入力できるようにしてほしいと考えています。

組織の開発者は最近、現場の販売代理店が、インターネット アクセスのある任意のデバイスから簡単に注文を送信できるようにする新しいカスタマー リレーションシップ マネジメント アプリケーションを開発しました。

組織では、このアプリケーションをクラウドでホストすることにしました。これにより、営業チームは最初に企業ネットワークに接続する必要なく、販売時点で、各自のタブレットやスマートフォンから、迅速に販売を入力できるようになります。組織ではこれにより、インベントリの管理が大幅に改善されると予想しています。

問題の説明

組織では、新しいアプリケーションを Microsoft Azure でホストすることを決定しました。ただし、現在組織には、Azure でホストされる新しいアプリケーションに対して、営業担当者を認証することができる認証プロバイダーがありません。

解決すべき全体的な問題を次に示します。

システム設計者または IT 管理者は、ユーザーが社内のリソースとクラウドベースのリソースにアクセスする際の共通の ID を提供するには、どうすればよいでしょうか。過度の IT リソースを使用せずに、これらの ID を管理し、複数の環境間で情報を同期させるには、どうすればよいでしょうか。

このアプリケーションにアクセスできるようにするには、認証プロバイダーによって営業担当者を認証する機能が必要です。組織では、CRM アプリケーションへのアクセスを営業担当者のみに制限したいと考えています。CRM にアクセスする必要がある従業員は、営業担当者だけであるためです。

組織では、オプションを調査し、Azure AD のインスタンスに対してクラウド認証を許可することに合意しています。組織では、現在社内で Active Directory フェデレーション サービス (AD FS) のインスタンスを使用していないため、少ない経費で簡単にセットアップできると判断しました。また、世界中に営業担当者がいるため、クラウド認証は特に帯域幅の低い地域で優れたエクスペリエンスを提供します。組織は、これらの ID を管理するために必要なリソースを心配しています。Active Directory 管理者は 1 人しかおらず、この管理者はこのソリューションを短期間で稼働できるようにする必要があります。

そのため、組織の開発者はコードを追加しました。Azure AD のインスタンスをセットアップするのは、Active Directory 管理者の担当になります。Active Directory 管理者は、社内 Active Directory を利用して、Azure AD のそのインスタンスを作成できる必要があります。Active Directory 管理者はこれを迅速に実行できる必要があります。現在の Active Directory 環境をクリーンアップする時間や、Azure ですべてのユーザー アカウントを再作成する時間はありません。さらに、組織では、営業担当者が企業ネットワークにログオンするときに使用するものと同じパスワードを使用できるようにしたいと考えています。組織では、営業担当者に複数のパスワードを覚えておく必要がないようにしたいと考えています。

組織の目標

組織のハイブリッド ID ソリューションの目標は、次のようになります。

  • 社内ディレクトリとクラウドで ID を管理できること。

  • 社内の単一フォレスト ディレクトリとの同期を迅速にセットアップできること。

  • クラウド認証プロバイダーを提供できること。

  • 社内ディレクトリとの同期を迅速にセットアップできること。

  • クラウドに同期させるユーザーおよび対象を制御できること。

  • 現在使用しているものと同じセキュリティ保護されたサインイン エクスペリエンスを提供できること。

  • 社内 ID システムを迅速にクリーンアップし、それらをクラウドのソースにできるように適切に管理できること。

このソリューションの推奨される計画と設計のアプローチ

このセクションでは、前のセクションで説明した問題に対処するソリューション設計について説明し、この設計の計画に関する考慮事項の概要を説明します。

Azure AD を使用することで、組織は Active Directory の社内インスタンスと Azure AD インスタンスを統合できます。さらに、次の図に示すように、このインスタンスを使用して、クラウド認証を提供します。

クラウド認証ソリューション

次の表では、このソリューション設計の一部である要素の一覧を示し、各設計で選択されている理由を説明します。

ソリューションの設計要素

このソリューションに含める理由

Azure Active Directory 同期ツール

社内ディレクトリ オブジェクトと Azure AD を同期させるために使用します。このテクノロジの概要については、「ディレクトリ同期のロードマップ」を参照してください。

パスワード同期

社内 Active Directory からのユーザー パスワードを Azure AD と同期させる Azure Active Directory 同期ツールの機能です。このテクノロジの概要については、「パスワード同期の実装」を参照してください。

IdFix DirSync エラー修復ツール

Active Directory フォレスト内のオブジェクト同期エラーの大部分を特定し、修復する機能を提供します。このテクノロジの概要については、「IdFix DirSync エラー修復ツール」を参照してください。

パスワード同期は、社内 Active Directory から Azure AD にユーザー パスワードを同期させる Azure Active Directory 同期ツールの機能です。この機能により、ユーザーは社内ネットワークにログインするために使用している同じパスワードを使用して、Azure AD サービス (Office 365、Intune、CRM Online など) にログインできます。これにより、ユーザーは企業ネットワークにサインインする場合と同様にセキュリティ保護されたサインインの機能が得られます。

IdFix DirSync エラー修復ツールは、移行に備えて、社内 Active Directory 環境の ID オブジェクトおよびそれらの属性の検出と修復を実行するために使用できます。これにより、同期を開始する前に、同期によって発生する可能性のある問題を速やかに識別できます。この情報を使用して、これらのエラーを回避できるように、環境を変更することができます。

この設計を推奨する理由

この設計が推奨されるのは、組織の設計目標に対処しているためです。つまり、Azure ベースのリソースに認証を提供する方法には、クラウド認証を経由するか、または STS (セキュリティ トークン サービス) を使用した社内認証を経由する 2 つの方法があります。

組織の 1 つ目の設計目標は、Active Directory の社内インスタンスとの同期を迅速にセットアップできるようにすることです。この設計は、社内 Active Directory と Azure AD を同期させる最速の方法を表します。

2 つ目に、組織では、現在のものと同じセキュリティ保護されたサインイン エクスペリエンスを提供する機能を必要としていました。この設計を使用することで、ユーザーは現在使用しているものと同じユーザー名とパスワードを使用してサインインすることができ、エクスペリエンスはまったく同じになります。

このソリューションを実装する手順の概要

このセクションに示した手順を使用して、ソリューションを実装します。各手順の内容が正常に完了したことを確認してから、次の手順に進んでください。

  1. ディレクトリ同期を準備します。

    システム要件を確認し、適切なアクセス許可を作成して、パフォーマンスに関する考慮事項を検討します。詳細については、「ディレクトリ同期を準備する」を参照してください。この手順を完了したら、選択したソリューション設計オプションを示すワークシートが完成していることを確認します。

  2. ディレクトリ同期をアクティブにします。

    会社のディレクトリ同期をアクティブにします。詳細については、「ディレクトリ同期を準備する」を参照してください。この手順を完了したら、機能が構成されていることを確認します。

  3. ディレクトリ同期コンピューターをセットアップします。

    Windows Azure AD 同期ツールをインストールします。既にインストールしている場合は、アップグレード、アンインストール、または他のコンピューターへの移動方法を学習します。詳細については、「ディレクトリ同期用コンピューターをセットアップする」を参照してください。この手順を完了したら、機能が構成されていることを確認します。

  4. ディレクトリを同期します。

    初期同期を実行し、データが正常に同期されていることを確認します。また、Azure AD 同期ツールを構成して、定期的な同期をセットアップする方法およびディレクトリ同期を強制的に実行する方法についても学習します。詳細については、「構成ウィザードを使用してディレクトリを同期する」を参照してください。この手順を完了したら、機能が構成されていることを確認します。

  5. 同期済みユーザーをアクティブにします。

    サブスクライブしたサービスを使用する前に、Office 365 ポータルでユーザーをアクティブにします。これには、Office 365 を使用するライセンスをユーザーに割り当てることが含まれます。これは個別に行うことも、一括で行うこともできます。詳細については、「同期ユーザーのアクティブ化」を参照してください。この手順を完了したら、機能が構成されていることを確認します。これは、オプションの手順で、Office 365 を使用している場合にのみ必要であることに注意してください。

  6. ソリューションを確認します。

    ユーザーが同期されたら、http://myapps.microsoft.com へのログインをテストします。Office 365 アプリケーションがある場合は、ここにそれらが表示されます。通常のユーザーは、Azure サブスクリプションを必要とせずにここからログインできます。

参照

コンテンツの種類

参考資料

製品評価/はじめに

テスト ラボ ガイド:DirSync とパスワード同期を使用した Windows Azure AD と Windows Server AD 環境の作成

テスト ラボ ガイド:フェデレーション (SSO) による Windows Azure AD と Windows Server AD 環境の作成

計画と設計

Windows Server 2012 での AD FS 設計ガイド

ディレクトリの統合の概要

展開

Windows Server 2012 R2 AD FS の展開ガイド

ディレクトリ同期のロードマップ

シングル サインオンのロードマップ

操作

AD FS の操作

サポート

ディレクトリ同期のトラブルシューティング

Forefront Identity Manager フォーラム

Windows Azure フォーラム

参照

チェックリスト: AD FS によるシングル サインオンを実装して管理する

ディレクトリの統合方法

コミュニティのリソース

Cloud Identity

関連ソリューション

Configuration Manager と Windows Intune に移行してモバイル デバイスと PC を管理

関連テクノロジ

Azure

Forefront Identity Manager 2010 R2

Active Directory フェデレーション サービス