HDE アクセスコントロール : シングルサインオン セットアップ (Office 365)

本稿では、ご利用のHDE Oneドメイン環境とOffice 365ドメイン環境間でアクセスコントロールシングルサインオン環境を適切にセットアップするための手順を案内しております。セットアップ作業を始める前に、必要条件に合致しているかご確認ください。

設定値については、弊社が提供しております接続設定資料をご覧ください。ご不明の場合は、ご連絡ください。

アクセスコントロール シングルサインオンのセットアップ要件

(i) HDE One Directory Syncがインストールされ、適切に機能していること。(AD連携有りの場合)

もしHDE One Directory Syncがインストールされていない場合、または適切に動作していない場合には、再インストールをお願いします。
※初期設定資料は導入時にご案内しています。
 確認できない場合は Customer Success Guide までご連絡ください。

 

(ii) Windows端末で PowerShellが利用できること: WindowsマシンでPowerShellを利用する方法

Windows端末に上記のソフトウェアがインストールされていることが確認できてから、実際のセットアップにお進みください。

 

(1) Office 365への接続

1.1) Office 365上への管理者アカウントの作成 (任意)

セットアップでは、Office 365上の管理者アカウントが必要になります。 ただし、既存の管理者アカウントを利用する場合は、この手順はスキップして、1.2)に進むことができます。

このセットアップのためには、使用する管理者アカウントがOffice365の"全体管理者"である必要があります。

セットアップ後には管理者アカウントが削除されても問題ありません。

Office365上に新しい管理者アカウントを作成するには、既存の管理者アカウントでOffice365 管理センター にログインし [ユーザ] -> [アクティブなユーザ] を選択し、[ユーザーの追加]ボタンをクリックします。

__________2018-07-13_15.07.20.png

 

[ユーザーの追加] ボタンをクリックすると、新規アカウントの作成画面が表示されます。

表示名、ユーザー名など必要項目を入力し、役割で「全体管理者」を選択後に、追加を押してください。

__________2018-07-13_15.11.24.png

 

 

__________2018-07-13_15.13.05.png

 

1.2) 管理者アカウントでログイン

最初に インストールした Windows PowerShell 用 Windows Azure Active Directory Module を実行してください。 

1.2.1) 以下のコマンドを実行 :

Connect-MsolService

1.2.2) コマンドを実行すると、ログインダイアログが表示されますので、このセットアップで利用する管理者アカウントのログインユーザ名(xxx@yourdomain.onmicrosoft.com)とパスワードを入力します。

Screen_Shot_2015-10-13_at_3.40.11_PM.png

1.3) ドメイン情報の取得

ログインが成功し、以下のコマンドを使ってドメイン環境のステータスをチェックします:

Get-MsolDomain

Screen_Shot_2015-10-13_at_5.11.41_PM.png

コマンドを実行すると、2つのドメイン名の情報を見ることができます(お客様のOffice365環境により2つ以上のドメインが表示される場合がございます):

  1. アクセスコントロール ドメイン
  2. Office 365 固有ドメイン (xxx.onmicrosoft.com) ※フェデレーション不可

両方のドメインで、Status列に"Verified"、"Authentication"列に"Managed"が表示されていることを確認してください。

 

(2) シングルサインオン設定の構成

2.1) 設定コマンドの入力

Windows PowerShell で、以下に記載されているコマンドをコピー&ペーストをしていただくことで、 シングルサインオン設定を完了できます。またこの設定には、事前にアクセスコントロールサーバ証明書の取得が必要です。

アクセスコントロールのコンソールにログインし、[システム] > [ドメイン設定]をクリックします。

__________2018-07-13_15.19.26.png

その後一番下までスクロールすると、 [サーバー証明書] があります。

__________2018-07-13_15.20.36.png

[サーバー証明書のダウンロード] をクリックすることで、入力に必要な 証明書キー を含む .crt ファイル を得ることができます。証明書キーは、 テキストエディタ で.crtファイルを開き、全ての証明書キーをコピーしてご利用ください。

サンプルコマンド:

$dom = "yourdomain.com"
$puri = "https://ap.ssso.hdems.com/portal/yourdomain.com/login/"

$issuer = "https://ap.ssso.hdems.com/sso/yourdomain.com"
$auri = "https://ap.ssso.hdems.com/active/yourdomain.com"
$mex = "https://ap.ssso.hdems.com/mex/yourdomain.com"
$logoffuri = "https://ap.ssso.hdems.com/portal/yourdomain.com/logout/"
$cert = ".crtファイルからコピーした文字列"
Set-MsolDomainAuthentication -DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $puri -ActiveLogOnUri $auri -SigningCertificate $cert -IssuerUri $issuer -MetadataExchangeUri $mex -LogOffUri $logoffuri

Screen_Shot_2015-10-14_at_11.54.55_AM.png

2.2) ドメイン情報の確認

最後に、セットアップが正しく実行されていることを確認するため "Get-MsolDomain" コマンドを実行して"yourdomain.com"の"Authentication" 列が "Federated" となっていることを確認してください。

Screen_Shot_2015-10-14_at_1.49.44_PM.png

上記のようになっていれば、ドメイン環境の シングルサインオン設定 が完了し、クラウド環境のユーザが1つのアカウントで全てのサービスにログインできるようになっています。

2.3) シングルサインオンの無効化 (任意)

ドメイン環境のシングルサインオンを無効化するのは、以下のコマンドを実行するだけです。("yourdomain.com" を御社のドメインアドレスに置き換えてください。) :

Set-MsolDomainAuthentication -Authentication Managed -DomainName yourdomain.com

このコマンドは、ドメインの"Authentication" を "Federated" から "Managed"に変更し、シングルサインオンを無効化します。

 

          
この記事は役に立ちましたか?

よくあるご質問

Powered by Zendesk