これまでAD FSとAzure ADを比較する際に重要なポイントの一つだったのが、PCへのログオンからブラウザ・アプリケーションへのシングルサインオンです。これをDesktop SSOと呼んでいます。
AD FSは統合Windows認証が利用できるので、ドメインネットワークではDesktop SSOが実現できましたが、Azure ADの場合はWindows 10でWindows Hello for Businessを使わないとDesktop SSOは実現できませんでした。
また、AD FSの場合はChromeやFirefoxなどIE/Edge以外のブラウザでもDesktop SSOを行う方法がありましたが、Windows Hello for Businessを使った場合はIE/Edge以外のブラウザでDesktop SSOを行うことはできませんでした。
参考)MVP渡辺元気さんのBlog : 「IE以外でADFSにSSOする」
http://blog.o365mvp.com/2014/07/07/sso_adfs_without_ie_2012r2/
この課題を解決するために新たなAzure ADの機能「Desktop SSO」のプレビュー版として公開されました。
公式アナウンス
Enterprise Mobility and Security Blog
Introducing #AzureAD Pass-Through Authentication and Seamless Single Sign-on
https://blogs.technet.microsoft.com/enterprisemobility/2016/12/07/introducing-azuread-pass-through-authentication-and-seamless-single-sign-on/
詳細ドキュメント
https://docs.microsoft.com/en-us/azure/active-directory/active-directory-aadconnect-sso
動作イメージ(公式ドキュメントより)
このAzure AD Desktop SSOを利用すると、Windows 7/8/8.1/10のPCにおいてChromeやFirefoxを使った場合でもシームレスにAzure AD連携しているアプリケーションへサインオンできるようになります。(Windows 7/8/8.1でIEを使った場合でもSSOできるようになります)
セットアップは簡単で最新版のAzure AD Connectを使い、
- 認証方式に「Password Hash Sync」もしくは「Pass-Through Authentication」を設定する
- イントラネットゾーンに以下の2つのURLを入れる
- https://autologon.microsoftazuread-sso.com/
- https://aadg.windows.net.nsatc.net/
の2つを行うだけです。
結果、こんな感じで動きます。
Azure ADのログイン画面でIDを入れるとパスワードを入れることなく自動的にサインインが行われます。
ますますAD FSを使わなくても実現できることが増えてきました。。。。
投稿
0 件のコメント:
コメントを投稿