Windows Azure Active Directory を利用してシングル サインオンを実現する


このポストは、8 月 6 日に投稿された Implementing Single Sign-on with Windows Azure Active Directory の翻訳です。

編集メモ: 今回は、Windows Azure の ID フェデレーション チームのテクニカル ライターを務める Gayana Bagdasaryan の投稿をご紹介します。

この投稿では、Windows Azure Active Directory を利用して実装できる Web シングル サインオンの基本的なシナリオについて取り上げています。

詳細に進む前に強調しておきたいのは、現在利用可能なのは Windows Azure Active Directory の開発者向けプレビュー版であるということです。したがって、Windows Azure Active Directory が一般向けにリリースされれば、よりシンプルかつスムーズに実装できるようになるでしょう。この投稿の目的は、プレビュー版で試してみるのをお勧めすることです。

このシナリオは、ID 関連の状況ではとてもシンプルで一般的なものです。たとえば、あなたが独立系ソフトウェア ベンダとして、ビジネス アプリケーションをクラウドで提供しているとしましょう。顧客は Office 365 サブスクリプションを利用している企業です。その企業の従業員が Office 365 のアプリケーションにアクセスするのと全く同じ方法で、ビジネス アプリケーションにアクセスできるようにしたいとあなたは考えています。つまり、Web シングル サインオン (または ID フェデレーション) を実現したいということです。

Office 365 を購入する際にプロビジョニングされる専用の Windows Azure Active Directory を利用することで、Web シングル サインオンを実現することができます。Windows Azure Active Directory では、セキュリティ トークン サービス (STS) を含むディレクトリ サービス、認証サービス、承認サービスが提供されています。

Web シングル サインオンを実装すれば、STS (Windows Azure Active Directory によって提供) を利用したフェデレーション メカニズムを通じて、顧客はクラウド アプリケーションへアクセスできるようになります。そのためには、以下の作業を行う必要があります。

1.顧客側では Windows Azure Active Directory にアプリケーションをプロビジョニングする必要があります。またこのステップの一部として、顧客向けのプロビジョニングを行い、クラウド アプリケーションへのアクセスを可能にします。つまり、特定のドメインで Office 365 を使用しているユーザーが、アプリケーションにアクセスできるよう許可するのです。

2.WS-Federation を用いてクラウド アプリケーションを保護し、顧客にサービスを提供します。つまり、クラウド アプリケーションと、ディレクトリのシングル サインオン エンドポイントとの間に信頼関係を確立します。

Web シングル サインオンの詳細については、以下を参照してください。

さらに詳細な情報については、「Single Sign On with Windows Azure Active Directory: a Deep Dive (Windows Azure Active Directory を利用したシングル サインオンの詳細 (英語))」を参照してください。

Comments (0)

Skip to main content