ようやくWindows 10 Technical Previewの最新ビルドである10041のクラウド・ドメイン・ジョイン(CDJ)を試すことが出来ました。
前回のビルドでは実現できなかったOffice365へのシングルサインオンが今回のビルドから出来るようになっています。(まだ不安定な感じはしますが)
また今回、AD FSと連携されているAzure Active Directory(AAD)ドメインのユーザを使ってCDJを行うとどうなるのか?についても同時に試してみました。
こんな環境です。
◆AD FSアカウントでCDJ
まずは、CDJです。
前のビルドで行ったのと同じ方法でクラウドへ接続します。
ポイントは、組織アカウントを入力する際に、AADからAD FSに連携しているユーザアカウントを指定するところです。AD FSユーザを入力すると、クラウド体験ホストのウィンドウにAD FSのログオン画面が表示されます。
(ちなみにクラウド体験ホストではリダイレクトではなく、AzureADでProxyしてAD FSの画面が表示されているように見えます。つまり、PCから直接AD FSへの通信がこの段階では発生していないようです)
うまく行くと、AAD上にデバイスが登録されます。
これで、AD DSが使えない環境でのドメイン参加ができたことになりますので、ID管理対象はあくまでAD DSに集約させることが出来ますし、AD FSと連携しているアプリケーションの認証とPCのIDの連携を社内PCはAD DS、社外PCはAD FSという形で統合することが出来ます。
◆Office365へSSO
次にOffice365へのSSOです。
前回のビルドでは、Office365(https://portal.office.com)へアクセスしてもID/パスワードを入力してログインする必要がありましたが、今回のビルドではAAD Token Broker Pluginが(ある程度)動くようになっており、確認した限りでは、Office365/Visual Studio OnlineへはきちんとSSO出来るようになっていました。
(まだバグっぽい動きはありましたが)
※ちなみにOutlookを使ってExchange OnlineとSSO出来るか、現状はダメです。ただ、ADALを有効にしたOfficeクライアントへのSSOはできますので、SharePoint Online連携なんかはうまく行くんじゃないでしょうか?(試してないですが)
動きとしては非常にシンプルで、PCにログインしてそのままIEを起動、Office365やVisual Studio Onlineにアクセスするだけです。
内部的にはIEを起動すると、AAD Token Broker PluginというモジュールがPCログイン時に取得したPRT(Primary Refresh Token)でAccess Tokenを取得し、トークンを使ってログインする、という流れです。
そのため、AADやAD FSのログイン画面にリダイレクトされて、、、という動きはしないため、AD FSで認証する設定になっているOffice365にシングルサインオン出来るからと言って、同じAD FSを信頼している他のサービス(Google AppsやSalesforce.comなど)にシングルサインオン出来るわけではありません。
尚、このAAD Token Broker Pluginですが、現状以下の不具合?があります。
・初回PCログイン時、2つ設定が存在している
・[管理]をクリックしても何も起きない
・Office365にアクセスする時にアクセス権がない、というエラーが出ることがある
最後のアクセス権のエラーについてはAAD Token Broker Pluginを一旦削除すると上手く動くのですが、IEを起動した段階で再度Pluginが生成されるため、次にIEを起動すると同じエラーが再度出てきたりします。
(DCOM関連のエラーが大量に出るので、レジストリとDCOMのアクセス権を付けると上手く行くのかも知れませんが、現状私の環境では解消していません)
全体にまだまだな感じはしますが、デバイスとブラウザやアプリケーションのSSOがようやく実現しそうな予感がします。
夏の正式リリースまでにブラッシュアップされると思うので期待して待っておきましょう。
0 件のコメント:
コメントを投稿