Azure AD Connectとは、オンプレADで管理しているユーザーやグループをAzure AD に同期するための機能です。
オンプレADのアカウントを同期することで、アカウント管理を一元管理することが可能です。
Azure AD Connectには「パススルー認証」や「パスワードハッシュの同期」などの同期方法があります。
「パススルー認証」とは、任意のサーバーに認証エージェントをインストールすることで、Azure ADに対しての認証要求を認証エージェントを経由してオンプレADで認証する方法です。
「パスワードハッシュの同期」はハッシュ化したパスワードをAzure ADに同期することで、オンプレADを介すことなくAzure ADで認証が可能になります。
同期するパスワードはハッシュ化されているので、基本的にはセキュリティ上問題ありませんが、金融系などのセキュリティ要件が厳しい企業ではパススルー認証を利用する場合があります。
今回は「パススルー認証」でシームレスSSOを出来るようにします。
1.代替UPNサフィックスの追加
オンプレADのアカウントは「.local」などの外部公開されていないドメイン名を利用していることが多いと思います。
オンプレADのUPNを使ってAzure ADにログインする場合、UPNサフィックスをAzure ADに登録しているドメイン名に変更する必要があります。
※メールアドレスを使用する場合、本手順は不要です
1.ADにログインし、「Active Directory ドメインと信頼関係」を起動します。
2.「Active Directory ドメインと信頼関係」を右クリックし、「プロパティ」をクリックします。
3.「代わりのUPNサフィックス」に Office 365 に登録しているカスタムドメインを追加します。
4.UPNサフィックスが登録されたことを確認し、「OK」をクリックします。
2.Azure AD Connetのインストール
1.Microsoft のサイトから Azure AD Connet のインストーラーをダウンロードします。
2.ダウンロードした「AzureADConnet.msi」を実行します。
3.「Azure AD Connet へようこそ」画面で「ライセンス条項およびプライバシーに関する声明に同意します。」にチェックを入れ、「続行」をクリックします。
4.「簡単設定」画面で「カスタマイズ」をクリックします。
5.「必須コンポーネントのインストール」画面で「インストール」をクリックします。
※インストール先などを変更する場合は適宜設定します
6.「ユーザーサインイン」画面で「パススルー認証」を選択します。
また、SSOを利用するので「シングルサインオンを有効にする」にチェックを入れ、「次へ」をクリックします。
7.「Azure ADに接続」画面で Azure ADのグローバル管理者アカウントを入力し、「次へ」をクリックします。
8.「ディレクトリの接続」画面でオンプレADのフォレストを入力し、「ディレクトリの追加」をクリックします。
9.「ADフォレストアカウント」画面で「既存のADアカウントを使用」を選択し、アカウントを入力し、「OK」をクリックします。
※管理者権限ではなく、一般アカウントでも問題ありません
10.「ディレクトリの接続」画面でディレクトリが追加されたことを確認し、「次へ」をクリックします。
11.「Azure AD サインインの構成」画面でAzure ADに登録しているドメインが「構成済み」になっていること、ユーザープリンシパル名を「userPrincipalName」に設定し、「次へ」をクリックします。
※ログインユーザー名をメールアドレスにする場合は「mail」を選択します
12.「ドメインとOUのフィルタリング」画面で任意の同期対象を選択し、「次へ」をクリックします。
13.「一意のユーザー識別」画面はデフォルトのまま「次へ」をクリックします。
14.「ユーザーおよびデバイスのフィルタリング」画面 はデフォルトのまま「次へ」をクリックします。
15.「オプション機能」画面で任意のオプションを選択し、「次へ」をクリックします。
16.「シングルサインオンを有効にする」画面で「資格情報の入力」をクリックします。
17.認証画面が出るのでオンプレADの管理者アカウントを入力します。
18.「資格情報の入力」の右にチェックが付いていることを確認し、「次へ」をクリックします。
19.「構成の準備完了」画面で、「構成が完了したら、同期プロセスを開始する」にチェックを入れ、「インストール」をクリックします。
20.「構成が完了しました」画面で「終了」をクリックします。
3.認証エージェントのインストール
次に認証エージェントをインストールします。
今回はADにインストールします。
1.Azure ADの管理画面で、「Azure Active Directory」-「Azure AD Connect」-「パススルー認証」をクリックします。
2.「ダウンロード」-「使用条件に同意してダウンロードする」をクリックします。
3.ダウンロードしたインストーラーを実行し、「Install」をクリックします。
4.Azureにログインします。
5.インストールが成功したことを確認し、「Close」をクリックします。
6.認証エージェントにADが追加されたことを確認します。
4.シームレスSSO用のGPO作成
Kerberosチケットをクラウドエンドポイントに送信するためには、クラウドエンドポイントである「https://autologon.microsoftazuread-sso.com」をイントラネットに明示的に登録する必要があります。
1.[ユーザーの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] > [インターネット コントロール パネル] > [セキュリティ ページ]を開き、「サイトとゾーンの割り当て一覧」を開きます。
2.「有効」を選択し、「表示…」をクリックします。
3.「値の名前」に「https://autologon.microsoftazuread-sso.com」、「値」に「1」を入力します。
4.[ユーザーの構成] > [ポリシー] > [管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] > [インターネット コントロール パネル] > [セキュリティ ページ] > [イントラネット ゾーン]を開き、「スクリプトを介したステータス バーの更新を許可する」を開きます。
5.「有効」を選択します。
これでオンプレADのアカウントでAzureにシングルサインオンが出来るようになりました。
コメント