パブリッククラウド Office 365とADFS連携


米国の大手企業の80%以上はパブリッククラウドサービスを導入しています。
オフィスウェアのパブリッククラウド移行も加速中とのこと。

国内のOffice 365やGoogle Officeの導入案件も増えていくことでしょう。

Office 365の魅力として、社内Active Directoryの連携がありますが、資料や情報が限定的です。

情報整理に起点用に、要点をまとめます:

ADFS機能
ADFSは、外部向け統合認証機能のみを提供する

‐定期レプリケーションによりADデータベースを複製保持する
‐Office365等のADドメイン外のノードに対して認証処理を代行する
‐ADFSは外部認証が主機能であり、アカウントデータベースのアップロード機能は無いことに注意
‐冗長化には「ADFS Proxy」の「役割」を担う機器が必要

基本構成(可用性とセキュリティ確保前提)
Office 365・ADFS連携に必要な構成例:

‐ADFS Proxy 2台
‐ADFSサーバ 2台
‐Directory Syncサーバ 1台

役割概要

‐ADFSサーバのみで365連携は可能です、開発段階ではADFS単体による接続試験を行うパターンとなります。

‐本番実装としては可用性確保のため、ADFSが2台以上必要となります。

‐365連携通信を負荷分散するためにADFS Proxyサーバが必要になります。

・MS資料内で役割名であることに注意、一般的なネットワーク負荷分散装置で
対応可能であり、MSサーバの必要性無し。
・ADFS ProxyサーバはDMZ配置となるため、MSサーバではなく
ネットワーク負荷分散装置が推奨。

‐ADFSサーバはあくまで認証処理装置であるため、365へアカウントデータをアップロードを行うDirectory Syncサーバが1台必要。

動作概要図

ADFS動作概要と技術要点

①XXX@global.comアカウントで365へアクセスする
注)365が認識できるようにAD上で365ユーザはエイリアス設定が必要となる
「user@corp.local」 はNG、「user@corp.co.jp」 とエイリアス設定

②ユーザの会社アドレス名前解決
要)ユーザの会社アドレス名前解決、会社のMX・ドメイン登録状態確認

③ユーザ所属会社へ認証確認を行う

④プロキシは社内の稼働中ADFSへ要求転送
補)DMZ上のProxy装置はWindowsサーバである必要はない、汎用ネットワーク負荷分散装置で可能

⑤承認処理要の証明書交換が行う
注)365利用のため、インターネット上のCAが発行した証明書を必要とする

⑥365は公的機関へ証明書の有効性確認後、承認処理を行う

X ADFS:ADは指定したスケジュールと範囲に基づいてデータ同期を行う。
※ エンドユーザの承認処理時にはADは直接関与しない。

以上。

株式会社エスアイイー
杉山

  • このエントリーをはてなブックマークに追加

PAGE TOP