Office 365 環境で AD FS を構築してシングルサインオンを実現する


みなさん、こんにちは。

今回も Office 365 ブログより、 Active Directory Federation Service 2.0 を
利用した Office 365 と Active Directory のシングル サインオンに関する
記事を紹介します。

この仕組みはそのまま Office 365 プラットフォーム上で稼動する Dynamics
CRM オンラインでも利用できるため、非常に重要なステップとなります。

元記事 : Office 365 環境で AD FS を構築してシングルサインオンを実現する

========================================================================

発行者 : Shinichi Komeda_MSFT

対象: Office 365 for Enterprise

Microsoft Office 365 では、社内で利用している Active Directory の認証でクラウドの認証も行うように設定することができます。これを行うには、Active Directory のフェデレーション サービスを有効にできるように AD FS 2.0 サーバーや AD FS Proxy サーバー (社外からアクセスをしたい場合) などを設置し、クラウド側と連携させます。これにより、社内環境とクラウド環境のシングル サインオンを実現させることができます。

構築するシステムの概念図は以下のようになります。

このシステムを構築すると、認証をするにあたってはクライアント PC からキックされる一連の認証フローが以下のような順番で流れます。

詳しくは、以下の 2 つの記事をご覧ください。

さて、このシステムを構築するに当たっては、以下のような流れで作業を行っていくことになります。

この一連の流れを記載した自習書がこのたび公開されました。「Microsoft Office 365 自習書 AD FS によるシングル サインオン環境構築ステップ バイ ステップ ガイド」をダウンロードしてご覧いただくと、構築の流れをスクリーンショット付きでステップバイステップで把握していただくことが可能です。

また、最近公開された「AD FS 2.0 ロールアップ 1 更新モジュール」を利用すると、AD FS 2.0 を利用してクライアントの IP アドレスに基づいたサービスへのアクセス制限も行うことができるようになります。詳しくは、「クライアントの場所に基づいた Office 365 サービスに対するアクセスの制限」をご覧ください。

参考文献

AD FS を構築するために必要なモジュール

========================================================================

上記手順で Active Directory 同期されたユーザーは、Dynamics CRM オンラインの
ユーザーとして設定が可能で、Dynamics CRM オンラインに対してもシングル サインオンが
可能となります。構築は多少骨の折れる作業がありますが、是非お試しください。

- Dynamics CRM サポート 中村 憲一郎

Comments (6)

  1. Yui より:

    こんにちは、いつも記事楽しみにしています!

    一つ教えてください。

    Office 365+AD FS 2.0環境の場合でもスマートフォン(Android、iOS)からのアクセスは可能ですか?

  2. コメントありがとうございます。

    Office 365 でフェデレーションを設定いただいた後も、onmicrosoft.com アカウントは引き続き利用可能です。なにか具体的な懸念を持ちでしょうか。

    中村 憲一郎

  3. 原田 幸雄 より:

    おffice365環境で、ADFSを構築してシングラサインサインを実現する-2014年10月18日

  4. luckydog より:

    こんにちは、いつも記事参考にさせて頂いております。

    本記事にて

    「上記手順で Active Directory 同期されたユーザーは、Dynamics CRM オンラインの

    ユーザーとして設定が可能で、Dynamics CRM オンラインに対してもシングル サインオンが

    可能となります。構築は多少骨の折れる作業がありますが、是非お試しください。」

    とありますが、DynamicsCRMのユーザとして設定することが骨の折れる作業ということでしょうか?

    具体的にはどのように設定するのでしょうか?

    以上、宜しくお願い致します。

  5. コメントありがとうございます。

    Active Directory 同期されたユーザーに対する特別な手順は必要なく、通常の Azure AD ユーザーと同様に Microsoft Dynamics CRM Online のライセンスを付与するだけで作業は完了いたします。

    1. https://portal.office.com より Office 365 ポータルにログインします。

    2. Office 365 管理センターにアクセスします。

    3. 左側のメニュー一覧よりユーザー | アクティブなユーザーを選択します。

    4. ライセンスを付与するユーザーをダブルクリックします。

    5. ライセンスタブを選択して、任意のライセンスを付与します。

    ライセンス付与後、Dynamics CRM Online に管理者としてログインし、ライセンス付与したユーザーが CRM ユーザーとして同期されていることを確認してください。その後 CRM ユーザーに対してセキュリティロールを追加していただければ、該当ユーザーがログイン可能となります。

    – 中村 憲一郎

  6. luckydog より:

    中村様

    早速のご返信有り難うございます!

    なるほど、骨の折れる作業と仰っているのは、シングルサインオン環境の構築自体を指しているということですね。

    DynamicsCRM オンラインで利用するには特別な設定が必要かと思いましたが、そうではないみたいで安心致しました。

    頑張ってみたいと思います。

    以上、宜しくお願い致します。

Skip to main content