none
役割別のADFSは立てられますか? RRS feed

  • 質問

  • オンプレミスのADDS、ADFS、OFFICE365でSSOを利用している一般的な環境で、

    社内の同じネットワーク内に事務処理用のアプリケーションサーバを構築し、

    関係者に既存ドメインユーザを利用したSSOをさせたいと考えております。

    ※アプリケーションサーバはADFS連携に対応しております。

    ただ、ADDSは自前なのですがADFSと同期先のAzure「Active Directly」は

    「サービス提供のためoffice365以外の認証利用や設定変更は出来ない」とサービス提供側から

    連絡がありました。

    そこでなのですが、同じADDSを利用した役割別で別のADFSを構築することは可能なのでしょうか。

    お手数ではございますが、ご不明点がございましたらご質問ください。

    2016年7月22日 2:47

回答

  • チャブーンです。

    まず、前提条件ですが、AD FSのフェデレーション信頼は「複数のテナント」に対して実施できます。ですから、使い分けのために複数立てるのではなく、フェデレーション信頼先を必要数加えていく、ということになります(いわゆるマルチテナントのことです)。

    「AD FS連携」というのが何を指しているのかわからないのですが、フェデレーション信頼を必要とする場合、クラウド上にOffice365用とは別のAzure Active Directoryを設定し、それとアプリケーションを連携させる必要があります。(AD DSの情報複製には)Azure AD Connect Serverをテナントの数だけそれぞれ用意します。

    ただしAzure Active Directoryでマルチテナントを行う条件として、「同一ユーザの同期」はサポートされていません。Office365用にAD DSの全ユーザを同期させている場合、この項目は満たせませんので、そのままでは事実上実現できません。マルチテナントには各テナント用の同期ユーザの内容等「設計」を綿密に行うことが肝要ですので、必要であれば専任のコンサルタントにご相談いただくことを強くお奨めします。

    状況から(ローカルネットワーク内に構築ということなので)、ムリにフェデレーション認証を使うのではなく、通常のKerberos認証によるSSOを行う方が、合理的だと思われます。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2016年7月22日 9:25
    モデレータ

すべての返信

  • チャブーンです。

    まず、前提条件ですが、AD FSのフェデレーション信頼は「複数のテナント」に対して実施できます。ですから、使い分けのために複数立てるのではなく、フェデレーション信頼先を必要数加えていく、ということになります(いわゆるマルチテナントのことです)。

    「AD FS連携」というのが何を指しているのかわからないのですが、フェデレーション信頼を必要とする場合、クラウド上にOffice365用とは別のAzure Active Directoryを設定し、それとアプリケーションを連携させる必要があります。(AD DSの情報複製には)Azure AD Connect Serverをテナントの数だけそれぞれ用意します。

    ただしAzure Active Directoryでマルチテナントを行う条件として、「同一ユーザの同期」はサポートされていません。Office365用にAD DSの全ユーザを同期させている場合、この項目は満たせませんので、そのままでは事実上実現できません。マルチテナントには各テナント用の同期ユーザの内容等「設計」を綿密に行うことが肝要ですので、必要であれば専任のコンサルタントにご相談いただくことを強くお奨めします。

    状況から(ローカルネットワーク内に構築ということなので)、ムリにフェデレーション認証を使うのではなく、通常のKerberos認証によるSSOを行う方が、合理的だと思われます。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2016年7月22日 9:25
    モデレータ
  • こんにちは、tannda さん
    フォーラムオペレータの佐伯 玲 です。

    その後チャブーンさんからのアドバイスはご覧いただけておりますでしょうか?
    ご参考になるアドバイスがいただけているかと思いましたので私のほうから「回答としてマーク」とさせていただきました。
    ご確認いただけましたらご返信くださいね。


    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2016年8月4日 8:31
  • 返信が遅くなり申し訳ございません。

    チャブーンさん申し分無いご回答ありがとう御座いました。

    状況も察して頂き併せてお礼申し上げます。

    2016年8月5日 6:30