採用情報

お問い合わせ

BLOG

電子認証局サービス BLOG

Office 365 利用時における認証の強化

~Active Directory、AD FS、Azure AD と電子証明書の連携よる認証強化~

前号では、クラウドサービス利用時における認証の課題解決について、企業で認証情報を管理することができる Active Directory(AD)での認証情報の一元管理について紹介しました。
今号では、具体的にどのような構成で実現することが可能なのかを解説します。

そもそも AD とは、Windows Server ベースのシステムに認証機能を提供しているものです。一度認証すれば、ドメインに参加している社内システムのデータにアクセスする際に、毎回ユーザー名(ID)/パスワードを入力する必要がありません。このことを「シングルサインオン」と言います。

※出典: http://www.atmarkit.co.jp/ait/articles/1404/11/news028.html

社内システム(オンプレミス)のみの認証であれば、AD のみでデータにアクセスすることが可能ですが、クラウドサービスを組み合わせたハイブリットなシステム環境においては、AD の付属機能で Active Directory フェデーションサービス(AD FS)を利用する必要があります。

AD FS を組み合わせることにより、クラウドサービス利用の際にもシングルサインオンを行うことができ、毎回ユーザー名、パスワードを入力する手間を省けます。また、クラウドベースの認証サービスである Azure Active Directory(Azure AD)を活用することにより、クラウド環境のみでアプリケーションへのアクセスの一元管理、シングルサインオンを実現することができます。

出典:http://www.atmarkit.co.jp/ait/articles/1607/21/news020_2.html

Office 365 などのクラウドアプリケーションの利用にあたっては、AD、AD FS、Azure AD を連携することでシームレスなアクセスが可能ですが、課題は ID とパスワードを認証情報として利用していることです。

この課題に対してはデバイス証明書(クライアント証明書)の利用で解決できます。ID とパスワード以外の要素として、デバイス証明書(クライアント証明書)を利用し、特定の端末からのみのアクセスを許可することで、より高いセキュリティを実現できます。

特に、サイバートラストが提供するデバイス証明書発行管理サービス「デバイス ID」では、AD との連携によりクラウドサービス利用時にセキュアなパスワードレスサインインを実現することも可能ですので、認証時の利便性も向上させることができます。なお、デバイス ID は、Windows 10 Mobile をはじめとする Windows プラットフォーム以外に iPhone や Android などのスマートデバイスにも対応していますので、マルチデバイスの環境で運用している場合にも適用させることができます。

構成にあたっては、Azure AD 側でドメインと AD FS の紐づけ、AF DS 側では認証情報として「証明書のみ」、「ID/パスワード+証明書」を設定することでシングルサインオンが可能となります。連携、利用する際の詳しい方法についてはお問い合わせください。

次号では、Office 365 利用時の AD と SSL-VPN 連携による認証強化ついてご紹介します。

なお、具体的な設定方法については当社までお問合せください

CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime