2016年12月9日金曜日

[Azure AD] IE/Edge以外でAzure ADにSSOする(Desktop SSO)

こんにちは、富士榮です。

これまでAD FSとAzure ADを比較する際に重要なポイントの一つだったのが、PCへのログオンからブラウザ・アプリケーションへのシングルサインオンです。これをDesktop SSOと呼んでいます。

AD FSは統合Windows認証が利用できるので、ドメインネットワークではDesktop SSOが実現できましたが、Azure ADの場合はWindows 10でWindows Hello for Businessを使わないとDesktop SSOは実現できませんでした。

また、AD FSの場合はChromeやFirefoxなどIE/Edge以外のブラウザでもDesktop SSOを行う方法がありましたが、Windows Hello for Businessを使った場合はIE/Edge以外のブラウザでDesktop SSOを行うことはできませんでした。

参考)MVP渡辺元気さんのBlog : 「IE以外でADFSにSSOする」
    http://blog.o365mvp.com/2014/07/07/sso_adfs_without_ie_2012r2/


この課題を解決するために新たなAzure ADの機能「Desktop SSO」のプレビュー版として公開されました。

 公式アナウンス
  Enterprise Mobility and Security Blog
  Introducing #AzureAD Pass-Through Authentication and Seamless Single Sign-on
  https://blogs.technet.microsoft.com/enterprisemobility/2016/12/07/introducing-azuread-pass-through-authentication-and-seamless-single-sign-on/

 詳細ドキュメント
  https://docs.microsoft.com/en-us/azure/active-directory/active-directory-aadconnect-sso


 動作イメージ(公式ドキュメントより)

このAzure AD Desktop SSOを利用すると、Windows 7/8/8.1/10のPCにおいてChromeやFirefoxを使った場合でもシームレスにAzure AD連携しているアプリケーションへサインオンできるようになります。(Windows 7/8/8.1でIEを使った場合でもSSOできるようになります)


セットアップは簡単で最新版のAzure AD Connectを使い、

  • 認証方式に「Password Hash Sync」もしくは「Pass-Through Authentication」を設定する
  • イントラネットゾーンに以下の2つのURLを入れる
    • https://autologon.microsoftazuread-sso.com/
    • https://aadg.windows.net.nsatc.net/

の2つを行うだけです。

結果、こんな感じで動きます。
Azure ADのログイン画面でIDを入れるとパスワードを入れることなく自動的にサインインが行われます。



ますますAD FSを使わなくても実現できることが増えてきました。。。。

0 件のコメント:

コメントを投稿