Windows Server 2016 AD FS + Office365のフェデレーションIDの構成②

こんにちは、Miyaです。

本記事は、Windows Server 2016 AD FS + Office365のフェデレーションIDの構成①の続編となります。

前回の記事では環境構築の下準備が整ったので、本記事ではAADConnect、AD FS、WAPの構成を進めていきましょう。

ADFS

スポンサーリンク:

AD FS、AADConnectの構成

それでは、AD FS、AADConnecの構成から入りましょう。
最近ではAADConnectからリモートでAD FSの役割インストール~構成までを行えるようになっています。

AADConnectからAD FSにリモート接続するため、WinRMが有効で構成されている必要があります。
Title:Azure AD Connect のカスタム インストール

AD FSサーバーのPowerShellからEnable-PSRemoting –forceコマンドでWinRMを有効化しておきましょう。

また、WAPも同様にAADConnectからリモートでセットアップ出来るのですが、あまり現実的でないので個別セットアップで進めていきたいと思います。

それでは、AADConnectをインストールしていきましょう。下記サイトからインストールファイルをダウンロード、インストールします。
Title:Microsoft Azure Active Directory Connect

ADFS構築

ADFS構築

ADFS構築

ADFS構築

カスタムドメインが”Verified”、つまりはOffice365に追加されていることを確認しておきましょう。

ADFS構築

オンプレADからAzureADに同期するオブジェクトをOU単位でフィルタリングが可能です。
既定で全ての組織単位が選択されていますが、Office365に関係の無いオブジェクトが同期されてはいけませんので、最小限のOUに絞っておきましょう。
ADFS構築

ADFS構築

ADFS構築

オプション機能について、パスワード同期を有効にしておくことを推奨します。
オンプレミスの認証基盤で障害が発生した場合、一時的にクラウドIDに変換することで、利用者はOffice365上で認証することが可能となります。つまり、フォールバックの一手となります。

ADFS構築

今回は新規構築になるので、「新しいAD FSファームを構成する」を選択しましょう。
AD FSサーバーの役割をインストールするサーバー・証明書を選択します。

ADFS構築

私のサーバーでは、過去にAD FSを構成した際のゴミが残っているため、「データベースファイルを上書きしてもいいか?」と注意書きされていますが、特に気にしなくて結構です。

ADFS構築

続いてWAPの構成ですが、冒頭で記述したように、AADConnect⇔WAP間でWinRMを構成するのは現実的ではないので、ここでは何も入力せずそのまま次に行きます。

ADFS構築

AD FSサービスの実行アカウントを選択します。ここではサービスアカウントグループを作成しておきます。

ADFS構築

フェデレーションIDとするドメインを選択します。

ADFS構築

ADFS構築

ADFS構築

以上でAD FS⇔Office365の信頼関係の構成およびフェデレーションIDのセットアップは完了です。簡単ですね。

WAPの構成

まずWAPサーバーの下準備として、HOSTSにフェデレーションサービス名に対するAD FSサーバーのプライベートIPを記述しておきましょう。

通常、DMZに配置するWAPサーバーのDNS向け先は外部DNSになります。
WAPがフェデレーションサービス名に対して、認証・認可を依頼する際に名前解決した結果、アクセス先がWAP自身になってしまうことを防ぐために、HOSTSにAD FSのプライベートIPを書いておく必要があります。
ADFS構築

WAPは外部からの443/TCPのInbound通信が発生するため、外部公開する必要があります。
私の自宅環境ではBaffaloルーターのポート変換(NAT)で対応しました。

ADFS構築
[リモートアクセス]の役割をインストールします。
ADFS構築

[Webアプリケーションプロキシ]を選択します。
WAP構築

インストールが完了したら、サービスの構成に入りましょう。
WAP構築

WAP構築

WAP構築

WAP構築

以上で完成です。試しに適当な端末でOffice365ログインページにアクセスし、UPNを入力してみましょう。

ADFS構築
※接続するクライアント端末に、SSL証明書を発行した証明機関のルート証明書がインポートされていない場合、証明書エラーとなるためルート証明書をインポートしておきましょう。

UPNを入力すると、Office365はドメインがフェデレーションドメインであると理解し、設定されたフェデレーションサービスのURLを401でクライアントに返します。

上記画像は自宅外NWからの接続となるため、クライアントは外部DNSで名前解決後、WAPを経由してAD FSの認証画面にアクセスしています。AD FSの画面にリダイレクト後、パスワードを入力すると無事サインインできました。

環境構築としては以上で完了です。クライアント側の細かい動作については別途纏めておきます。

おわりに

AD FS+Office365のフェデレーションIDは、複雑な構成、オンプレミスに依存した認証基盤などの理由から嫌悪されがちですが、Office365のID形態の約半数を占める人気の構成です。

先日のTechSummit 2017で行われたPHS、PTAのセッションでは、Office365のID形態の中でもバッシング対象として紹介されていましたが、まだまだAD FSも重宝されると私は思います。

PHS、PTA構成を取り入れることで受けれる恩恵は大きいものの、アクセス制御のための下地を作るのは大きい組織ほど大変ですからね。

今後は、AD FSだからこそ出来るカスタマイズ構成を記事で取り上げていきたいと思う所存でございます。

それでは、良いOffice365ライフをッ♪

スポンサーリンク