米国の大手企業の80%以上はパブリッククラウドサービスを導入しています。
オフィスウェアのパブリッククラウド移行も加速中とのこと。
国内のOffice 365やGoogle Officeの導入案件も増えていくことでしょう。
Office 365の魅力として、社内Active Directoryの連携がありますが、資料や情報が限定的です。
情報整理に起点用に、要点をまとめます:
ADFS機能
ADFSは、外部向け統合認証機能のみを提供する
‐定期レプリケーションによりADデータベースを複製保持する
‐Office365等のADドメイン外のノードに対して認証処理を代行する
‐ADFSは外部認証が主機能であり、アカウントデータベースのアップロード機能は無いことに注意
‐冗長化には「ADFS Proxy」の「役割」を担う機器が必要
基本構成(可用性とセキュリティ確保前提)
Office 365・ADFS連携に必要な構成例:
‐ADFS Proxy 2台
‐ADFSサーバ 2台
‐Directory Syncサーバ 1台
役割概要
‐ADFSサーバのみで365連携は可能です、開発段階ではADFS単体による接続試験を行うパターンとなります。
‐本番実装としては可用性確保のため、ADFSが2台以上必要となります。
‐365連携通信を負荷分散するためにADFS Proxyサーバが必要になります。
・MS資料内で役割名であることに注意、一般的なネットワーク負荷分散装置で
対応可能であり、MSサーバの必要性無し。
・ADFS ProxyサーバはDMZ配置となるため、MSサーバではなく
ネットワーク負荷分散装置が推奨。
‐ADFSサーバはあくまで認証処理装置であるため、365へアカウントデータをアップロードを行うDirectory Syncサーバが1台必要。
動作概要図
①XXX@global.comアカウントで365へアクセスする
注)365が認識できるようにAD上で365ユーザはエイリアス設定が必要となる
「user@corp.local」 はNG、「user@corp.co.jp」 とエイリアス設定
②ユーザの会社アドレス名前解決
要)ユーザの会社アドレス名前解決、会社のMX・ドメイン登録状態確認
③ユーザ所属会社へ認証確認を行う
④プロキシは社内の稼働中ADFSへ要求転送
補)DMZ上のProxy装置はWindowsサーバである必要はない、汎用ネットワーク負荷分散装置で可能
⑤承認処理要の証明書交換が行う
注)365利用のため、インターネット上のCAが発行した証明書を必要とする
⑥365は公的機関へ証明書の有効性確認後、承認処理を行う
X ADFS:ADは指定したスケジュールと範囲に基づいてデータ同期を行う。
※ エンドユーザの承認処理時にはADは直接関与しない。
以上。
株式会社エスアイイー
杉山
