Office365 パススルー認証 コネクタの冗長化

どうも、Miyaです。

Office365へのディレクトリ同期として知られるAADConnectですが、最近ではOffice365とのフェデレーションIDの管理やシングルサインオンが構成できるようアップデートされています。
本ブログでも、AADConnectのパススルー認証についていくつか記事を書かせていただいております。
Office365 AADConnectのパススルー認証によるSSO構築①
Office365 AADConnectのパススルー認証によるSSO構築②
Office365 パススルー認証 Officeクライアントからの接続

パススルー認証ですが、社外NW(DCにアクセス出来ないNW)からの認証の場合、DCへの認証の検証をMicrosoft AAD App Proxy Connectorが行います。
つまり、コネクタがダウンすると、トークン取得のための検証が行えません。

そこで、AADConnectにインストールされているMicrosoft AAD App Proxy Connector以外のサーバーでコネクタをインストールしておく必要があります。
本記事では、コネクタをもう一台別のサーバーに設置することで、片系がダウンしても認証が出来るようパススルー認証の構成を組んでみたいと思います。

スポンサーリンク:

コネクタのインストール

下記ダウンロードサイトから最新のコネクタをダウンロードします。
https://download.msappproxy.net/subscription/d3c8b69d-6bf7-42be-a529-3fe9c2e70c90/connector/download
※Versionが1.5.58.0以上でないとパススルー認証に対応しません。

AADApplicationProxyConnectorInstaller.exeがダウンロードされるので、任意のフォルダに配置しましょう。
パススルー認証

管理者権限でコマンドプロンプトを起動し、先ほどダウンロードした実行ファイルが配置されているフォルダに移動したら、下記コマンドを実行しましょう。

REGISTERCONNECTORについては、インストール時にAzureADの全体管理者権限を持つアカウント情報を登録するかしないかのオプションになります。
本作業では、別途モジュール単位でAzureADの資格情報のマッピングを行うため、インストール時はfalseとしています。
尚、/qオプションを加えることで、サイレントインストールが行えます。

コマンドを実行するとウィザードが立ち上がるので、インストールします。
パススルー認証
パススルー認証

資格情報のマッピング

次に、AppProxyPSModuleというモジュールに対して、AzureADの全体管理者権限を持つアカウントの資格情報をマッピングします。
C:\Program Files\Microsoft AAD App Proxy ConnectorにRegisterConnector.ps1スクリプトが用意されているので、それを使って登録を行います。

PowerShellを起動して、C:\Program Files\Microsoft AAD App Proxy Connector\に移動したら、下記コマンドを実行しましょう。

しばらくすると、AzureADフォーム認証が表示されるので、全体管理者権限を持つアカウント情報を入力しましょう。
パススルー認証

これで、モジュールへのアカウント情報のマッピングは完了です。

動作確認

コネクタの冗長化することが出来ましたので、片系のサービスをダウンさせた状態でパススルー認証を実践してみたいと思います。

社外NWからOffice365ポータルに無事にログインが出来ました。
パススルー認証

この時、DCのイベントログを確認すると、TGTとSTが発行されているのが確認できました。
尚、192.168.11.203は今回コネクタをインストールしたサーバーのIPアドレスになります。

TGT

パススルー認証

ST

パススルー認証

おわりに

コネクタ部分の冗長化はとても簡単に実装することが出来ました。
ただ、この構成時はAct-Actで捉えていいのかな?複数コネクタが存在した場合に、負荷分散てきなことはするのかな?
それとも、片系が死んだ時の予備程度にしかならないのか…(´_ゝ`)?
今度暇なときにでも、認証繰り返して動作を確認したいと思います。

以上、よいOffice365ライフをっ♪

スポンサーリンク