2月にスタートしたOffice 365体験記もいよいよ最終回を迎えた。最後のテーマは、社内Active Directory(AD)との連携。前回から2回にわたり解説している。

前回はADの情報をOffice 365に自動的に同期するように設定し、ユーザー情報を企業内のADで一元管理できるようにした。ここまでの設定で、ユーザー情報をOffice 365と連携させることはできるが、このままではADのパスワードを使用してOffice 365にサインインすることはできない。そこで、今回はADのユーザーID、パスワードを使用してシングルサインオンをするための設定について解説する。

これまでのOffice 365体験記はこちら

  1. 【ハウツー】Office 365体験記 - 請求書払いも可能! 契約プラン紹介と体験版の利用法
  2. 【ハウツー】Office 365体験記 - PowerShellの一括設定も! ドメイン設定とユーザー管理
  3. 【ハウツー】Office 365体験記 - フィルター、アーカイブ…、Exchange Onlineの管理
  4. 【ハウツー】Office 365体験記 - チャットとの統合も! ユーザー視点のExchange Online
  5. 【ハウツー】Office 365体験記 - 文書管理/情報共有も楽々! SharePoint Online管理機能
  6. 【ハウツー】Office 365体験記 - Wordの同時編集も! SharePoint Onlineユーザー機能
  7. 【ハウツー】Office 365体験記 - "ブラウザー+共同編集"で営業革新!? Office Web Apps
  8. 【ハウツー】Office 365体験記 - 社外とのWeb会議も楽々! Lync Onlineの管理/設定法
  9. 【ハウツー】Office 365体験記 - デスクトップ共有も可能! Lync Onlineの魅力を探る
  10. 【ハウツー】Office 365体験記 - 社外ユーザーとコミュニケーションするための環境設定
  11. 【ハウツー】Office 365体験記 - 社内Active DirectoryとOffice 365の同期

シングルサインオンをするために必要となる環境

ADのユーザーID、パスワードを使用してシングルサインオンをするには以下のような環境を用意する必要がある。

図1 : シングルサインオンをするために必要となる環境

AD FSはOffice 365でシングルサインオンをするために必須のサービスであるが、これはドメインに参加しているサーバーに導入する必要がある。よって、必然的に社内ネットワークに配置することになるだろう。Office 365はクラウド上のサービスであり、ユーザーは社内ではなくインターネットからアクセスすることも想定しておく必要がある。しかし、マイナビ商事では、セキュリティの観点から、社内ネットワークに設置されているAD FSをインターネット経由でアクセスできるようにするのは避けたい。そこで、インターネットから社内のAD FSにアクセスさせるために、DMZ(非武装地帯)にAD FS Proxyを配置する。こうすることで、ユーザーはAD FS Proxyを経由してAD FSにアクセスを行うことができるようになる。

このような環境を構築することで、重要な社内サーバーを公開することなく、社外からでもADを使用したシングルサインオンを実現できる。

ここでは、AD FSの役割について詳しく解説することはしないが、AD FS は特定のサービスにアクセスするための「チケット(セキュリティトークンと呼ぶ)」を発行するためのサービスであると理解していただきたい。AD FS側ではチケットを発行するためのポリシーを設定することができるため、例えば特定の条件に当てはまるユーザーにのみシングルサインオンを許可するといったアクセス制限を実現することもすることもできる。アクセス制限の方法は、クライアントの場所に基づいたOffice 365サービスに対するアクセスの制限に情報が公開されているので、設定する場合にはこの技術情報を参考にしていただきたい。