2018年10月9日火曜日

色々なクラウドサービスとシングルサインオン(SSO)を設定してみよう - Office 365編 -(2018年版)

弊社が提供するGluegent Gateは、シングルサインオン・ID管理・アクセス制御の機能を兼ね備えたクラウドサービスです。現在、多くのサービスが、SAML 2.0という認証連携の標準規格に対応しておりますが、Gluegent GateではこのSAML 2.0という規格を利用して様々なクラウドサービス(G Suite(旧Google Apps)、Office 365、Salesforce、Dropbox、Box、サイボウズ等)とのシングルサインオンを実現しています。認証をGluegent Gateに集約し、そこでアクセス制御を行うことにより、各種クラウドサービスを横断的にセキュリティ強化することが可能となります。

さて、今日はOffice 365とシングルサインオンを行うための設定手順について取り上げたいと思います。

※この記事は2017年6月に公開した記事の画像を最新版にしたものです。

前提条件

まず、Gluegent GateがOffice 365とシングルサインオンできるようにするためには、以下の作業が完了している必要があります。

    <Office 365とシングルサインオン連携するための前提条件>
  1. Office 365に連携するドメイン名(xxx.onmicrosoft.com以外)が登録済であること
  2. Gluegent Gateにユーザ/グループが登録済であること
  3. Gluegent Gateに認証/認可ルールが定義済であること

No.1が特に重要です。Office 365と連携するためにはxxx.onmicrosoft.com以外のドメインをOffice 365のドメインとして登録しておくことが必要です。またxxx.onmicrosoft.comは「既定」として設定しておきます。

 Office 365管理センターのドメイン設定画面設定例


シングルサインオン設定手順の流れ

Office 365とのシングルサインオンを行うための設定手順は以下の通りです。G Suiteと違い、IdP証明書登録作業は必要ありません。

    <シングルサインオン設定手順>
  1. Gluegent GateのSSO設定画面で各種設定項目を入力する
  2. Gluegent Gateのユーザ設定画面でOffice 365に関する設定を行う
以下に詳しく説明していきます。

手順1. Gluegent GateのSSO設定画面で各種設定項目を入力する

Gluegent Gateへログイン後、以下の作業を行います。

  1. 画面左側メニューの「シングルサインオン」をクリックします。
  2. 「クラウドサービス」をクリックします。
  3. 「Office 365」をクリックします。
  4. 設定項目を入力します。
    • 設定画面ではメールボックスに関する設定もできますが、本稿ではシングルサインオンに必要な設定のみ行っています
  5. 保存ボタンをクリックします。
設定項目の説明
No.
設定項目
設定内容
1
シングルサインオンの設定
「有効」にチェック
2
Office 365ドメイン (必須)
Office 365と連携するドメイン名を入力
(xxx.onmicrosoft.com以外)
3
ID同期 
「有効」にチェック
4
Office 365管理アカウント名 (必須) 
Office 365の管理権限を持つxxx.onmicrosoft.comドメインのユーザを入力
5
管理者アカウントのパスワード
上記No.4で設定した管理者アカウントのパスワードを入力
6
ユーザ名の属性
Office 365との連携にGluegent Gateユーザ情報のメールアドレスまたはユーザIDのどちらを利用するか指定
7
シングルサインオンの方式
「SAML」「WS-Federation」のどちらかを指定
(通常は「WS-Federation」を指定)

上記設定の中で、No.2, No.4は間違いやすいところなので気をつけましょう。

手順2. Gluegent Gateのユーザ設定画面でOffice 365に関する設定を行う
Office 365と連携するためのユーザを指定します。
  1. 画面左側メニューの「ユーザ」をクリックします。
  2. ユーザ一覧からOffice 365と連携したいユーザを選択します。
  3. 以下の設定を行います。
    • メールアドレス
      • Office 365で登録したドメイン名を持つユーザのメールアドレスを入力
    • 許可するサービス
      • 「Office 365」にチェックを付与
    • Office 365のロール
      • Office 365側のライセンスを指定
      • ※この設定欄が表示されるまでSSO設定後最大45分間かかる場合があります
  4. 保存ボタンをクリックします。
  5. 連携したいユーザについて上記No.2〜4を繰り返します


設定後の確認

設定が一通り完了したら、動作確認を行ってみます。

  1. Webブラウザのプライベートモードによるウィンドウを表示し、ロケーションバーに「https://portal.office.com」を入力し、アクセスします。
  2. Office 365の認証画面でGluegent Gateで連携ユーザとして設定したユーザのメールアドレスをユーザIDに入力し「次へ」をクリックします。
  3. するとログイン画面にリダイレクトされますので、Gluegent Gateで登録したユーザID/パスワードを入力後、ログインします。
  4. ログイン後、Office 365が表示できたら成功です。


いかがだったでしょうか。上記のような設定でOffice 365とのシングルサインオンがGluegent Gateで簡単に実現できることがお分かりいただけたかと思います。次回も他サービスとのSSOに関する設定方法についてご紹介していきますのでお楽しみに。

 Gluegent Gate