2018年12月28日 / 最終更新日時 : 2018年12月28日 TVMSBlogger Azure AD

Azure AD アプリケーション プロキシによる社内アプリケーションの公開 ~ ② シングル サインオン編

こんちには!テクバン サポート チームの山本です。
今回は、前回に引き続きAzure AD アプリケーション プロキシの機能についてのご紹介です。

前回まで

Azure AD アプリケーション プロキシによる社内アプリケーションの公開 ~ ① 構成編」では、Azure AD アプリケーション プロキシを利用して社内アプリケーションを社外公開し、社外からアクセスができるようにしました。今回の記事はその続きとして、Azure AD アプリケーション プロキシのシングル サインオン機能についてご紹介します。

アプリケーションにシングル サインオンする

さて、前回までの設定を行ってアプリケーションを社外に公開することで、社外から社内アプリケーションにアクセスが可能になりました。その際の認証フローとしては、

  1. Azure ADによる認証
  2. 社内アプリケーション利用のためのWindows 統合認証

という2段階の認証が必要になりました。Azure AD Connectでディレクトリ同期をしていて、社内アプリケーションと同じサインインIDを使用しているのに、同じ資格情報を二度入力しなければならないことになり、少々手間がかかります。(まさに二度手間ですね)

そこで、Azure AD アプリケーション プロキシのシングル サインオン機能を利用することで、Azure ADによる認証を一度行えば再度資格情報を入力する必要なく、同じサインインIDで社内アプリケーションへサインインすることができるようにしましょう。

構成

ここで例として、引き続き前回の記事で公開したWindows 統合認証を必要とするサンプルを使用し、アプリケーションへのシングル サインオン機能を有効化します。

Azure AD アプリケーション プロキシのシングル サインオン機能は以下の手順にて設定を行います。

  • コネクタがインストールされたサーバーの委任設定
  • 公開しているアプリケーションでシングル サインオンを有効化

■ コネクタがインストールされたサーバーの委任設定

まずは、コネクタがインストールされたサーバーの委任設定を行います。
オンプレミスADサーバーにサインインし、[Active Directory ユーザーとコンピューター]を開きます。

一覧からコネクタがインストールされたコンピューターのプロパティ画面を開き、委任タブを開き、以下の設定を行います。

  • 指定されたサービスへの委任でのみこのコンピューターを信頼する
    • 任意の認証プロトコルを使う

[追加]をクリックし、アプリケーション サーバーのSPNの値を追加します。

 

 

 

 

 

 

 

 

■ 公開しているアプリケーションでシングル サインオンを有効化

次に、公開しているアプリケーション側の設定でシングル サインオンを有効化します。
Azure Active Directory 管理センター (https://aad.portal.azure.com/) にアクセスし、[Azure Active Directory] > [エンタープライズ アプリケーション]から、公開しているアプリケーションをクリックします。

[シングル サインオン]をクリックすると、既定では設定が無効になっています。今回公開しているアプリケーションに合わせて、Windows 統合認証を選択します。

 

 

 

 

 

設定画面にて、アプリケーションのSPN IDを入力して保存します。このSPNは、オンプレミスAD側で委任設定を行う際に追加したSPNである必要があります。

 

 

 

 

正常に保存されたら、設定は完了です。

実際の動作

では、公開したサンプル アプリケーションに対して、社外から再度ブラウザでアクセスしてみましょう。

まずは先程設定した外部URLを直接ブラウザに打ち込んでアクセスしてみます。するとMicrosoftの認証画面が表示されますので、前回同様、割り当てを行ったユーザーでサインインします。

 

 

 

 

 

 

Azure ADにサインインが完了すると、前回は社内アプリケーションへのWindows 統合認証が求められたところで、特に新たに認証画面が表示されることなく、社外から社内アプリケーションへアクセスすることができました。

 

 

 

 

また、My Apps (https://myapps.microsoft.com) にアクセスしてみましょう。
同じように前回割り当てを行ったユーザーでサインインすると、ユーザーが使用できるアプリ一覧が表示されます。その中で、公開したアプリケーションをクリックしてみます。

 

 

 

 

 

 

こちらをクリックすると、先程と同様に社内アプリケーションに対するWindows 統合認証が求められることなく、社内アプリケーションへアクセスすることができます。

このように、一度の認証でアプリケーションにアクセスできるので、とても楽になりますね。

最後に

いかがだったでしょうか。
Azure AD アプリケーション プロキシで公開されたアプリケーションでシングル サインオンを設定すれば、ユーザーは一度の認証でアプリケーションにアクセスすることができ、サインインに要する負担を軽減することができます。
Azure AD アプリケーション プロキシのご利用をお考えの場合は、こちらも是非ご一緒にご検討ください!

※ 参考情報 ※
Azure AD アプリケーション プロキシのシングル サインオンに関する詳しい要件などは、Microsoft社の公開情報がございますので、以下サイトをご参照ください。
Azure AD アプリケーション プロキシを使用したシングル サインオンの提供
> https://docs.microsoft.com/ja-jp/azure/active-directory/manage-apps/application-proxy-single-sign-on
アプリケーション プロキシを使ったアプリへのシングル サインオンの Kerberos の制約付き委任
> https://docs.microsoft.com/ja-jp/azure/active-directory/manage-apps/application-proxy-configure-single-sign-on-with-kcd

2018年はこちらが最後のブログ更新となります。
最後までお読みいただきありがとうございました。

来年もまた、ご愛読のほどよろしくお願い申し上げます!
それではみなさま、よいお年をお迎えください!

カテゴリー
Azure ADOffice365/Azure機能紹介Office365/Azure活用事例その他
Azure PaaS

前の記事

Azure App ServiceでWebアプリケーション公開
2018年12月11日
Office365/Azure活用事例

次の記事

Microsoft Teams × Microsoft Flow ~ ライブラリのアイテム作成通知
2019年1月4日