カテゴリー内の他の記事

Azure Active Directory(日本マイクロソフト株式会社)

フォローする

はじめに

こんにちは。Tipsプロデューサー北川@Cybozu です。
本Tipsでは、ID 管理とアクセス管理用の包括的なクラウド ソリューションであるAzure Active Directory(以下Azure AD)とcybozu の連携について、日本マイクロソフトのデベロッパー エバンジェリストである松崎 剛氏の監修の元紹介します。

Azure Active Directory とは?

Azure ADは、ID 管理とアクセス管理用の包括的なクラウド ソリューションです。Microsoft社製の製品はもちろんのこと、様々なアプリケーションと安全なアクセスが可能になります。

プレスリリースにも出ている通り、Azure ADの機能を活用することで、例えば「Office365」と「cybozu」の両製品を組み合わせて使いたいというお客様のニーズにお答えすることも可能です。Azure ADはこういった、Microsoft社製品との親和性の高さだけでなく、クラウド製品という特長を生かして以下のようなバリューを提供します。

  • オンプレミスの、クラウドサービスの認証基盤をクラウドで一元管理
  • 重要な認証基盤サーバーの運用が不要
  • Microsoft Azure Marketplaceの豊富なギャラリーを利用することで、他社サービスとの連携が容易

また、もともと「kintone.com」(USバージョン)のみSAMLフェデレーションが可能でしたが、先日「cybozu」についてもSAML フェデレーションが可能になりました。この機会に、社内のリソースのクラウド化を推進してみてはいかがでしょうか?

Microsoft Azure Marketplace へのリンクはこちらです。
また、詳しい設定方法は、日本マイクロソフトのデベロッパー エバンジェリストである松崎 剛氏のブログでも紹介されているので、そちらをご参照ください。

2015年3月現在、登録名が「kintone」となっていますがこちらを選択することで、「cybozu」のSAMLフェデレーションがご利用できます。今後、US市場限定ドメインである「kintone.com」と「cybozu.com」の登録を分ける予定です。

Azure ADを同期し、cybozuにログインする

今回は、Azure AD をアイデンティティ基盤として cybozu にログインしてみたいと思います。この設定をおこなうことで、Google Apps (GMail)、Salesforce、Office 365 など他アプリも含めた kintone とのシングルサインオン (SSO) 環境や、多要素認証 (二要素認証, 2FA) などの要素技術との組み合わせが可能です。 cybozu の SAML認証の仕組みなどは、Cybozu Inside Outというブログで紹介されています。

Azure ADとのフェデレーションを構成する

Azure Portal の Active Directory の管理ページから kintone のアプリケーションを挿入し、フェデレーション先の cybozu のアドレスなどを設定します

 

cybozu の管理画面を使って、SAML を有効にし、Azure AD 側のサインイン ページなど関連する情報を設定します。 設定手順の詳細は、松崎 剛氏のブログに解説されています。(本記事では細かい説明は割愛します。)

動作確認

設定が完了したら、いったんブラウザーをすべて閉じて、cybozu にアクセスしてみてください。Azure AD のログイン画面が表示され、ID とパスワードを入力することで cybozu へのログインがおこなわれます。

オンプレミスのActive Directoryを同期し、cybozu にログインする

上記の構成に、オンプレミス (企業内の Windows Server) の AD とのフェデレーションを構成すると、今度は、企業内のドメイン アカウント (Windows のログイン アカウント) を使って cybozu にログインできます。(もちろん、Google Apps など、その他アプリケーションとのシングル サインオンも実現できます。)

Azure ADと AD (Windows Server 環境) のフェデレーションを構成する

上記で kintone とフェデレーションされた Azure AD のディレクトリーに、Windows Server の AD とのフェデレーションを構成します。 フェデレーションをおこなうために、まず、Active Directory Federation Services (以下、AD FS と記載)、Web Application Proxy のセットアップをおこなってください。 セットアップが完了したら、Windows PowerShell (コマンド ユーティリティ) を使って、Azure AD と AD FS の間に信頼関係を設定します。(相互に証明書を含むメタ情報の交換をおこないます。) 最後に、企業内の Active Directory の情報 (ユーザーなど) と Azure AD の情報の同期を構成します。 設定手順の詳細は、こちらに解説されています。(本記事では細かい説明は割愛します。)

動作確認

設定が完了したら、いったんブラウザーをすべて閉じて、cybozu にアクセスしてみてください。企業専用の AD FS のログイン画面 (下図) が表示され、企業内のドメインで使用している ID とパスワードを入力することで cybozu へのログインがおこなわれます。 企業内の Windows 環境 (ドメイン) にログインして Internet Explorer (IE) を使用すると、ログイン画面は表示されず、シングル サインオン (SSO) がおこなわれます。

最後に

Azure AD は OAuth にも対応しているため、kintone カスタマイズの際には、Azure AD を使うことで、セキュア、かつストレスなく (ログインしているユーザー情報をそのまま使って) アプリ間の連携を実装 (プログラミング) できます。

最後になりますが、不定期でkintone×Azureセミナーを開催しておます。実際にAzureとkintoneのプロフェッショナルなスピーカーが様々な事例をご紹介していきますのでご興味ある方はFace Book のイベントページをフォローいただければと思います。

参加者にしかお見せしていないサンプルもありますので是非セミナーにご参加ください!

Azureの無償評価版ページへ

記事に関するフィードバック

直接的に記事と関連がないご質問はcybozu developer コミュニティをご活用ください。

ログインしてコメントを残してください。
Powered by Zendesk