HDE アクセスコントロール : シングルサインオン セットアップ (Office 365)

本稿では、ご利用のHDE Oneドメイン環境とOffice 365ドメイン環境間でアクセスコントロールシングルサインオン環境を適切にセットアップするための手順を案内しております。セットアップ作業を始める前に、必要条件に合致しているかご確認ください。

設定値については、弊社が提供しております接続設定資料をご覧ください。ご不明の場合は、ご連絡ください。

アクセスコントロール シングルサインオンのセットアップ要件(AD連携有りの場合)

(i) HDE One Directory Syncがインストールされ、適切に機能していること。

もしHDE One Directory Syncがインストールされていない場合、または適切に動作していない場合には、再インストールをお願いします。

こちらの記事をご参照ください: HDEアクセスコントロール:HDE One Directory Sync(Windows Active Directoryを利用したOffice 365)

(ii) Windows端末で PowerShellが利用できること: WindowsマシンでPowerShellを利用する方法

Windows端末に上記のソフトウェアがインストールされていることが確認できてから、実際のセットアップにお進みください。

(1) Office 365への接続

1.1) Office 365上への管理者アカウントの作成 (任意)

セットアップでは、Office 365上の管理者アカウントが必要になります。 ただし、既存の管理者アカウントを利用する場合は、この手順はスキップして、1.2)に進むことができます。

このセットアップのためには、使用する管理者アカウントがOffice365の"全体管理者"である必要があります。

セットアップ後には管理者アカウントが削除されても問題ありません。

Office365上に新しい管理者アカウントを作成するには、既存の管理者アカウントでOffice365 管理センター にログインし [ユーザ] -> [アクティブなユーザ] を選択し、[+]ボタンをクリックします。

Screen_Shot_2015-10-13_at_11.43.17_AM.png

[+] ボタンをクリックすると、新規アカウントの作成画面が表示されます。ユーザアカウントの詳細を適切に入力し、新しいユーザアカウントを作成してください。 

Screen_Shot_2015-10-13_at_12.13.44_PM.png

以下に示すように、新しいアカウントを選択し、右パネルの "ユーザロールの編集" をクリックしてください。

Screen_Shot_2015-10-13_at_2.54.16_PM.png

アカウントに管理者用アクセス権を付与するため "全体管理者" が選択されていることをご確認ください。また、手順を完了させるため、適切なメールアドレスを入力してください。

Screen_Shot_2015-10-13_at_2.58.27_PM.png

新規作成したユーザに、管理ロール"全体管理者"が割り当てられれば、PowerShellを使って、Microsoft Online Services サインインにログインする準備ができました。 

1.2) 管理者アカウントでログイン

最初に インストールされている Windows PowerShell 用 Windows Azure Active Directory Module を実行してください。 

1.2.1) 以下のコマンドを実行 :

Connect-MsolService

1.2.2) コマンドを実行すると、ログインダイアログが表示されますので、このセットアップで利用する管理者アカウントのログインユーザ名(xxx@yourdomain.onmicrosoft.com)とパスワードを入力します。

Screen_Shot_2015-10-13_at_3.40.11_PM.png

1.3) ドメイン情報の取得

ログインが成功し、以下のコマンドを使ってドメイン環境のステータスをチェックします:

Get-MsolDomain

Screen_Shot_2015-10-13_at_5.11.41_PM.png

コマンドを実行すると、二つのドメイン名の情報を見ることができます:

  1. アクセスコントロール ドメイン
  2. Office 365 ドメイン 

両方のドメインで、Status列に"Verified"、"Authentication"列に"Managed"が表示されていれば、次のステップの” シングルサインオンの設定 ”に進むことができます。

上記コマンド実行後に表示された結果は、 HDE One Directory Sync のインストールフォルダ内の Config.ini で設定された内容に基づいていますので、何か問題が発生した場合や、上記のサンプルのような結果がでない場合は、もう一度 Config.ini で設定された情報が正しいことを確認してください。

(2) シングルサインオン設定の構成

2.1) 設定コマンドの入力

ここでの手順は、Windows PowerShell で、以下に記載されているコマンドをコピー&ペーストをしていただくことで、 シングルサインオン設定を構成できます。またこの設定には、2つの事を実行していただく必要があります:

  1. アクセスコントロールドメイン (yourdomain.com)
  2. アクセスコントロールサーバの証明書

サンプルとして、アクセスコントロールドメインを yourdomain.com して記載しておりますが、実際に行われる場合は、 yourdomain.com 部分に御社の正しいドメインアドレスを入力してください。

アクセスコントロールサーバ証明書 については、 以下の方法でご自身のアクセスコントロールサーバ証明書を得ることができます。 アクセスコントロールのコンソールにログインし、[システム] > [ドメイン設定]をクリックします。

Screen_Shot_2015-10-14_at_11.23.49_AM.png

その後一番下までスクロールすると、 [サーバー証明書] があります。

Screen_Shot_2015-10-14_at_11.20.01_AM.png

[サーバー証明書のダウンロード] をクリックすることで、入力に必要な 証明書キー を含む .crt ファイル を得ることができます。証明書キーは、 テキストエディタ で.crtファイルを開き、全ての証明書キーをコピーしてご利用ください。

サンプルコマンド:

$dom = "yourdomain.com"
$puri = "https://ap.ssso.hdems.com/sso/yourdomain.com/login"

$issuer = "https://ap.ssso.hdems.com/sso/yourdomain.com"
$auri = "https://ap.ssso.hdems.com/active/"
$mex = "https://ap.ssso.hdems.com/mex/yourdomain.com"
$logoffuri = "https://ap.ssso.hdems.com/sso/yourdomain.com/logout"
$cert = ".crtファイルからコピーした文字列"
Set-MsolDomainAuthentication -DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $puri -ActiveLogOnUri $auri -SigningCertificate $cert -IssuerUri $issuer -MetadataExchangeUri $mex -LogOffUri $logoffuri

Screen_Shot_2015-10-14_at_11.54.55_AM.png

2.2) ドメイン情報の確認

最後に、セットアップが正しく実行されていることを確認するため "Get-MsolDomain" コマンドを実行して"yourdomain.com"の"Authentication" 列が "Federated" となっていることを確認してください。

Screen_Shot_2015-10-14_at_1.49.44_PM.png

上記のようになっていれば、ドメイン環境の シングルサインオン設定 が完了し、クラウド環境のユーザが1つのアカウントで全てのサービスにログインできるようになっています。

2.3) シングルサインオンの無効化 (任意)

ドメイン環境のシングルサインオンを無効化するのは、以下のコマンドを実行するだけです。("yourdomain.com" を御社のドメインアドレスに置き換えてください。) :

Set-MsolDomainAuthentication -Authentication Managed -DomainName yourdomain.com

このコマンドは、ドメインの"Authentication" を "Federated" から "Managed"に変更し、シングルサインオンを無効化します。

 

          
この記事は役に立ちましたか?

よくあるご質問

Powered by Zendesk