今回も前々回と前回に続き、「Azure AD とオンプレミス Active Directory とのフェデレーション」を構成する作業について説明しよう。
2回にわたり、「Azure AD の準備」「管理者IDの作成」「アイデンティティフェデレーションを構成するための準備」「フェデレーションの構成」「アイデンティティフェデレーションの構成」まで行った。以下、続きの作業を解説する。
ユーザーIDの同期を設定する
フェデレーションの設定を完了させるには、ユーザーIDの同期の設定を行わなければならない。
まずは Azure の旧ポータル(http://manage.windowsazure.com/)に接続していただきたい。 左側のメニューバーを下にスクロールすると、以下のようなマークが見つかる。これが Azure AD の管理ポータルだ。
今回作成したディレクトリをクリックしたら、上のタブから「ディレクトリ統合」をクリックしよう。ディレクトリ統合画面が開いたら、「ディレクトリ同期」欄の「アクティブ化済み」をクリックして、同期を有効化する。その際、必ず画面下の「保存」をクリックして保存することを忘れないよう。
次に、同期ツールをDS1にインストールする。Azure Portal の Virtual Machines から DS1に接続しよう。本番運用では、同期ツールは独立したサーバーにインストールしていただきたいが、今回はAzureへの課金を抑えるためにDS1に同居させることにする。
DS1上でブラウザを起動し、以下のURLから Azure AD Connect をダウンロードして、インストールしよう。
https://www.microsoft.com/en-us/download/details.aspx?id=47594
インストールを実行し、しばらくするとAzure AD Connect のセットアップウィザードが起動する。「ライセンス条項およびプライバシーに関する声明に同意する」をチェックして「続行」をクリックしよう。
「簡単設定」画面が表示されるが、今回はフェデレーション構成を手動で設定済みなので同期に関するセットアップだけを行うため、「カスタマイズ」をクリックする。
「必須コンポーネントのインストール」画面の「オプション構成」では何も選択する必要はない。何も選択せずに「インストール」をクリックする。
必須コンポーネントのインストールが完了すると「ユーザー サインイン」画面が表示される。ここでは必ず「構成しないでください」を選択して「次へ」をクリックする。
「Azure ADに接続」画面では、Azure ADに対して管理権限を持つユーザーIDを指定する。上の演習で登録した admin@mynavidomain.onmicrosoft.com を指定すればよい。
「ディレクトリの接続」画面では、オンプレミスADドメインに対する管理権限を持ったユーザーを指定し、同期対象となるADドメインを指定する。CloudAdmin@mynavi.mydns.jp とパスワードを指定したら「ディレクトリの追加」をクリックしよう。
以下のように、構成済みディレクトリとしてADドメインが追加されたら「次へ」をクリックしよう。
「ドメインとOUのフィルタリング」画面では同期対象とするOUを指定することができる。今回は全てのOUを対象とするので「すべてのドメインとOUの同期」が選択された状態で「次へ」をクリックする。
「一意のユーザー識別」画面では、Azure ADとオンプレミスADのユーザーをマップする際の属性をカスタマイズすることができる。今回は何もする必要はないので、このまま「次へ」をクリックする。
「ユーザーおよびデバイスのフィルタリング」画面では、同期対象とするユーザーやデバイスアカウントをグループ単位で指定することができる。今回は何もする必要はないので、このまま「次へ」をクリックする。
「オプション機能」画面では何も選択する必要はない。このまま「次へ」をクリックしよう。
「構成の準備完了」画面が表示されたら「構成が完了したら、同期処理を開始してください。」がチェックされた状態で「インストール」をクリックしよう。
構成が完了すると、さっそくバックグラウンドで同期が開始される。
なお、既定ではオンプレミスの管理者(この演習では CloudAdmin)は同期されない。そこで、オンプレミスADに一般ユーザーを作成しよう。
DS1でサーバーマネージャーを起動し、「ツール」メニューから「Active Directory ユーザーとコンピューター」を起動しよう。「Users」を右クリックして「新規作成」-[ユーザー]を選択する。
「新しいオブジェクト - ユーザー」画面で、姓名、フルネームを適当に入力し、ユーザーログオン名に user01 を指定したら「次へ」をクリックする。
次のページでパスワードを指定し、「パスワードを無期限にする」をチェックしたら「次へ」「完了」をクリックする。
これでテストユーザーが作成できたので、このユーザーを同期しよう。 同期のタイミングは既定では30分に1回だが、今すぐ同期する場合には PowerShell から行う。PowerShell コンソールを管理者権限で起動し、以下のコマンドを実行してみよう。
Start-ADSyncSyncCycle
上記を実行したら、旧ポータルの Azure AD の管理コンソールを開き、「ユーザー」一覧を参照してみると、以下のように作成したユーザーが同期されているのがわかるだろう。
user01 のソースが「ローカルActive Directory」と表示されているのがわかる。つまり、オンプレミスADから同期されてきたユーザーであるということだ。
これですべての設定が完了した。
あらためてブラウザから以下のURLにアクセスしてみる。繰り返しになるが、Azureポータルで使用しているブラウザとは別のブラウザを使用するか、InPrivateモードを使用しよう。 今度は、ユーザーIDとして先ほど作成した user01@mynavi.mydns.jp を使用する。 どうだろう?今度は正しくログオンできたはずだ。
以上で、本連載の演習は完了だ。
半年以上の連載となったが、途中 Azure の仕様が変わったり、新機能が追加されたりなどの影響で、連載が中断してしまったこともあった。実は、Azure AD の管理ポータルが新しい管理画面に移行されることを期待していたのだが、残念ながら連載期間中には移行されることはなかった。
クラウドは進化が早く、この連載で解説した手順も徐々に古いものとなっていくはずだ。しかし、ここで得たフェデレーションの基礎知識は手順が新しくなっても生かすことができる。これから本番環境を設計する方は、ぜひともこの連載で得たフェデレーションの知識を活用し、集中管理された安全な認証基盤を設計していただきたい。
編集協力:ユニゾン
安納 順一
日本マイクロソフト テクニカル エバンジェリスト
主にインフラ系テクノロジーの日本市場への訴求を担当。近年はパブリッククラウド上のアイデンティティ・プロバイダーであるAzure Active Directoryを活用したセキュリティ基盤のデザインや実装方法などがメインのフィールドである。
Technetで個人ブログもさまざまな技術情報を発信している。