Office365 ID管理の概要

どうも、Miyaです。

前回は、Office365の評価版を申し込み、Myテナントを作成後、独自ドメインを追加しましたね。

しかし、ID管理方法としてクラウドIDとなっております。
つまり、認証をOffice365で行なっているのと、仮にオンプレADでID管理をしていたなら、オンプレADとAzureADに二箇所でID管理をしないといけないので手間がかかりますよね。

それらを考慮してOffice365ではフェデレーションIDと呼ばれるID管理形態が存在します。
本記事では、Office365のID管理のご紹介と、それぞれの特徴を簡単にご説明したいと思います。

スポンサーリンク:

Office365 ID管理の種類

冒頭でもお話しした通り、Office365でのID管理の種類には、クラウドID、フェデレーションIDの二種類が存在します。
Office365を導入されている企業では、大方フェデレーションIDを利用しています。
クラウドサービスを利用するにあたって、セキュリティポリシーに則った運用する必要があるため、クラウドIDでは補えないのが正直なところです。

クラウドIDとは?

クラウドIDでは、AzureADで作成されたユーザーオブジェクトまたはオンプレADからディレクトリ同期されたユーザーオブジェクトに対して、認証を行うことを意味します。
クラウドIDとは

クラウドIDのメリットは、実装が容易な点が挙げられます。
Office365テナントを作成後、ユーザーを作成した時点で展開が可能ですので、非常にシンプルな構成ですよね。

その反面、クラウドIDになるので、管理者からするとID管理の負荷が高くなり、ユーザーからすると、余計なアカウント/パスワードが増えるため、あまり喜ばれません。
また、アカウント/パスワードをむやみにクラウドで作成することは、ログインの度にInternet経由でパスワードを入力することを意味しますので、好ましくありません。

これらの理由から、Office365を契約されている中でも、ダントツで多いのがフェデレーションIDなんですね。
Office365への認証をオンプレADで行い、その際にトークンと呼ばれる入場チケットを発行してもらいます。
そうすることで、ありとあらゆる恩恵を受けることが出来ます。

  • ユーザー管理の一元化
  • アカウント名/パスワード認証をオンプレで行うため、オンプレのログインポリシーに沿った認証が行える。
  • トークンの有効期限が到来するまで、アカウント名/パスワードの入力が不要
  • Office365へはトークンを提示するため、通信の盗聴が発生してもパスワードは抜かれない

などなど、ありとあらゆるメリットが存在します。

フェデレーションIDとは?

フェデレーションIDとは、Office365へのアクセスする際に、オンプレからチケットを取得して、そのチケットで各サービスを利用する構成を指します。

従来は、フェデレーションIDを構成するためには、Microsoftが提供するAD FSというシングルサインオンを実現するためのサーバーが必須となっておりました。
フェデレーションIDとは

  1. IDの入力
  2. IDのドメイン部分からID管理の種別を確認。チケットを提示するように要求
  3. AD FSサーバーに対して、チケットを要求
  4. AD FSサーバーがDCに対して、ユーザーの資格情報を検証
  5. 検証が成功後、トークン発行のOKサインを出す
  6. クライアントはトークンを取得
  7. 取得したトークンから、Office365にログインし、各サービスを利用する

詳しく説明すると、MFGと呼ばれるMicrosoftのゲートウェイを経由して、Office365へのサービスチケットを取得します。
トークン発行を司るAD FSサーバーを公開するわけにはいきませんので、社外からのアクセス時にはWebApplicationProxyサーバーを経由して接続します。
フェデレーションID

すごく雑にAD FSとOffice365の連携について説明しましたが、AADConnectと呼ばれるディレクトリ同期ツールを使用することで、簡単にオンプレで認証&シングルサインオンが構成出来ます。

このAADConnectは、Microsoftが提供しているMIM(Microsoft Identity Manager)と呼ばれる、ID管理を拡張するサービスの簡易版になります。
最近、AADConnectの機能がかなりバージョンアップしており、従来はAD FSサーバーをOffice365とオンプレADの間に構築することでシングルサインオンを構成していたのですが、現在はAADConnectのみでシングルサインオン構成を組むことが可能になっております。
フェデレーションIDとは

  1. IDの入力
  2. IDのドメイン部分からID管理の種別を確認。チケットを提示するように要求
  3. ADに対して、チケットを要求
  4. ユーザーを検証して、OKならチケットを発行

AD FSサーバーとは動作が異なり、Office365に対して有効なチケット発行をADに委託するといった機能になります。
社外の場合は、アクセスユーザーは社内ADに接続することが出来ないため、AzureADがオンプレADに対して、「代わりに認証やってね」と、認証を丸投げします(´_ゝ`)笑
フェデレーションIDとは

もちろん、AD FSサーバーを間に入れることで、AADConnectでは実現できない構成も存在します。
代表的な例として、ユーザーにトークンを発行する際に、制限が設けれるところです。
Office365への接続プロトコル、IPアドレスなどによるアクセス制限のルールを元にトークンを発行が可能なため、クラウドサービスへのセキュアな接続には欠かせないアイテムです。

おわりに

長々と説明しましたが、結局のところOffice365というクラウドサービスを利用するにあたって、セキュリティポリシーに違反しない構成を設計しましょうってことです。
クラウドサービスを利用するためには?外出先から接続できてもいいのか?私有品デバイスから接続てもいいのか?などなど…たくさんの要件があるかと思います。
(日本では、労働組合が強い企業の場合、社外接続NGは結構耳にします。笑)

とりあえず、ID管理の概要部分にはなりますが、ざっと説明したところで、次回は、AADConnectによるディレクトリ同期とシングルサインオンの構成を試してみたいと思います。

それでは、よいOffice365ライフをっ♫

スポンサーリンク