Office 365 環境で AD FS を構築してシングルサインオンを実現する

みなさん、こんにちは。

今回も Office 365 ブログより、 Active Directory Federation Service 2.0 を
利用した Office 365 と Active Directory のシングル サインオンに関する
記事を紹介します。

この仕組みはそのまま Office 365 プラットフォーム上で稼動する Dynamics
CRM オンラインでも利用できるため、非常に重要なステップとなります。

元記事 ： Office 365 環境で AD FS を構築してシングルサインオンを実現する

========================================================================

発行者 : Shinichi Komeda_MSFT

対象: Office 365 for Enterprise

Microsoft Office 365 では、社内で利用している Active Directory の認証でクラウドの認証も行うように設定することができます。これを行うには、Active Directory のフェデレーション サービスを有効にできるように AD FS 2.0 サーバーや AD FS Proxy サーバー (社外からアクセスをしたい場合) などを設置し、クラウド側と連携させます。これにより、社内環境とクラウド環境のシングル サインオンを実現させることができます。

構築するシステムの概念図は以下のようになります。

このシステムを構築すると、認証をするにあたってはクライアント PC からキックされる一連の認証フローが以下のような順番で流れます。

詳しくは、以下の 2 つの記事をご覧ください。

• シングル サインオン: ロードマップ
• Office 365 におけるシングル サインオンの仕組み

さて、このシステムを構築するに当たっては、以下のような流れで作業を行っていくことになります。

この一連の流れを記載した自習書がこのたび公開されました。「Microsoft Office 365 自習書 AD FS によるシングル サインオン環境構築ステップ バイ ステップ ガイド」をダウンロードしてご覧いただくと、構築の流れをスクリーンショット付きでステップバイステップで把握していただくことが可能です。

また、最近公開された「AD FS 2.0 ロールアップ 1 更新モジュール」を利用すると、AD FS 2.0 を利用してクライアントの IP アドレスに基づいたサービスへのアクセス制限も行うことができるようになります。詳しくは、「クライアントの場所に基づいた Office 365 サービスに対するアクセスの制限」をご覧ください。

参考文献

• Microsoft Office 365 自習書 AD FS によるシングル サインオン環境構築ステップ バイ ステップ ガイド
• Office 365 for Enterprise 展開ガイド
• ディレクトリ統合サービス (Wiki)

AD FS を構築するために必要なモジュール

• Active Directory Federation Services 2.0 RTW
• AD FS 2.0 ロールアップ 1 更新モジュール

========================================================================

上記手順で Active Directory 同期されたユーザーは、Dynamics CRM オンラインの
ユーザーとして設定が可能で、Dynamics CRM オンラインに対してもシングル サインオンが
可能となります。構築は多少骨の折れる作業がありますが、是非お試しください。

- Dynamics CRM サポート 中村 憲一郎

Comments

• Anonymous
  March 26, 2012
  こんにちは、いつも記事楽しみにしています！ 一つ教えてください。 Office 365+AD FS 2.0環境の場合でもスマートフォン（Android、iOS）からのアクセスは可能ですか？

• Anonymous
  March 27, 2012
  コメントありがとうございます。 Office 365 でフェデレーションを設定いただいた後も、onmicrosoft.com アカウントは引き続き利用可能です。なにか具体的な懸念を持ちでしょうか。 中村 憲一郎

• Anonymous
  October 16, 2014
  おffice365環境で、ADFSを構築してｼﾝｸﾞﾗｻｲﾝｻｲﾝを実現する-2014年10月18日

• Anonymous
  April 23, 2015
  こんにちは、いつも記事参考にさせて頂いております。 本記事にて 「上記手順で Active Directory 同期されたユーザーは、Dynamics CRM オンラインの ユーザーとして設定が可能で、Dynamics CRM オンラインに対してもシングル サインオンが 可能となります。構築は多少骨の折れる作業がありますが、是非お試しください。」 とありますが、DynamicsCRMのユーザとして設定することが骨の折れる作業ということでしょうか？ 具体的にはどのように設定するのでしょうか？ 以上、宜しくお願い致します。

• Anonymous
  April 23, 2015
  The comment has been removed

• Anonymous
  April 23, 2015
  中村様 早速のご返信有り難うございます！ なるほど、骨の折れる作業と仰っているのは、シングルサインオン環境の構築自体を指しているということですね。 DynamicsCRM オンラインで利用するには特別な設定が必要かと思いましたが、そうではないみたいで安心致しました。 頑張ってみたいと思います。 以上、宜しくお願い致します。