locked
ActiveDirectoryとOffice365のシングルサインオン RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    いつもお世話になっております。
    表題の件について教えてください。


    以下の手順書を利用して、ActiveDirectoryとOffice365のシングルサインオンを実装しようとしましたが、
    フェデレーションの設定の最終段階で躓いてしまい、
    シングルサインオンが設定できません。


    ざっくりとした流れとしては以下の通りです。


    1.Office365管理者サイト内で既定のドメイン設定
     変更前:example.onmicrosoft.com
     変更後:example.com

    2.ディレクトリ同期ツールをセットアップ

    3.フェデレーションサーバー構築
     OS:Windwos 2012 R2

    3-1
    「Connect-MsolService -Credential (Get-Credential)」で資格情報として、
     Office365上での管理者アカウント情報を入力。
     ユーザー名:メールアドレス
     パスワード:Directory同期にて同期されているため、PCにログインするときと同じもの
     
    3-2
     「Convert-MsolDomainToFederated -DomainName example.com」にて以下のエラー発生。

     <結果>
     Convert-MsolDomainToFederated : You cannot convert the specified domain to use identity federation because the account
    you are currently signed in with is a member of the domain example.com. Please sign in  to the service using an account
     that is a member of the company administrators role and is not part of the domain example.com, and then try again.

    また、手順としましては以下のものを参考にしました。

    Microsoft Azure 自習書 - 企業内システムと Microsoft Azure の VPN 接続、ADFS、Office365 との連携
    http://www.microsoft.com/ja-jp/download/details.aspx?id=43649


    他の解説サイトなどを見たところ、シングルサインオンの設定の際は
    フェデレーションを設定してから、最後にDirectory同期の設定を実施しているので
    この手順が私の場合逆なのですが、そこが問題でしょうか。


    切り分けの方法がなく困っております。
    何かアドバイスいただけないでしょうか。

    2015年4月2日 20:42

回答

  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは。

    エラーメッセージにある通り、フェデレーションしたいドメインではなくてexample.onmicrosoft.comなアカウントでサインインしてから再度実行してはどうでしょうか。

    • 回答としてマーク Masato0407 2015年4月3日 18:14
    2015年4月3日 1:15
  • Question
    サインインして投票
    0
    サインインして投票

    アドバイスありがとうございました。
    無事解決しました。


    ただ、フェデレーションしたいドメインではなくてexample.onmicrosoft.comなアカウントでサインインしてから
    とのことですが、このあたりは少し認識が違います。

    今回、Office365上でライセンスが付与されているアカウントはそもそもOffice365全体管理者アカウント1つであり、
    そのアカウントはOffice365のサインアップの際に作成されたものです。
    そしてそのアカウントはexample.onmicrosoft.comから、既に独自ドメインのものに変更済みであり、
    今回Get-Credentialで指定したアカウントはこのアカウントです。
    これは間接的にアドバイスいただいた意図と同じなのではないかと思っています。

    切り分けが難航しそうでしたので、
    対処法としましては、以下のようにしました。

    1.Office365上で新規にアカウントを作成し
    2.ユーザーライセンス付与
    3.Office365全体管理者の代理人として指定
    4.このアカウントをGet-Credentialで指定したうえで、Convert-MsolDomainToFederated実行


    無事に解決してすごくうれしいです。
    ありがとうございました。

    • 回答としてマーク Masato0407 2015年4月3日 18:14
    2015年4月3日 18:14

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは。

    エラーメッセージにある通り、フェデレーションしたいドメインではなくてexample.onmicrosoft.comなアカウントでサインインしてから再度実行してはどうでしょうか。

    • 回答としてマーク Masato0407 2015年4月3日 18:14
    2015年4月3日 1:15
  • Question
    サインインして投票
    0
    サインインして投票

    アドバイスありがとうございました。
    無事解決しました。


    ただ、フェデレーションしたいドメインではなくてexample.onmicrosoft.comなアカウントでサインインしてから
    とのことですが、このあたりは少し認識が違います。

    今回、Office365上でライセンスが付与されているアカウントはそもそもOffice365全体管理者アカウント1つであり、
    そのアカウントはOffice365のサインアップの際に作成されたものです。
    そしてそのアカウントはexample.onmicrosoft.comから、既に独自ドメインのものに変更済みであり、
    今回Get-Credentialで指定したアカウントはこのアカウントです。
    これは間接的にアドバイスいただいた意図と同じなのではないかと思っています。

    切り分けが難航しそうでしたので、
    対処法としましては、以下のようにしました。

    1.Office365上で新規にアカウントを作成し
    2.ユーザーライセンス付与
    3.Office365全体管理者の代理人として指定
    4.このアカウントをGet-Credentialで指定したうえで、Convert-MsolDomainToFederated実行


    無事に解決してすごくうれしいです。
    ありがとうございました。

    • 回答としてマーク Masato0407 2015年4月3日 18:14
    2015年4月3日 18:14