Office365 + ADFS2.0 + ディレクトリ同期を組み合わせてシングルサインオンが実現できますが、
私の環境で起きた、設定を間違えてないはずなのにシングルサインオンできなかったケースを紹介します。
■トラブルの事例
クライアントのブラウザからOffice365管理ポータルにサインインしようとすると、ADFSのエラーが表示されました。
(すみません、エラー画面をキャプチャしたものがありません)
ADFS関連でエラーが出たときは、とにかくイベントログを見るのが第一歩ということで、
イベントビューアからADFS2.0のログを見てみると、イベントID184のログを見つけることができました。
(↑1:51:02って、仕事する時間じゃないですよね..)
■トラブルシューティングスタート
上記のイベントログが出て、「証明書利用者の信頼をキーが示していない」などと書いてあるので、
ひとまずADFS2.0管理ツールの[証明書利用者信頼]を見てみました。
すると、証明書利用者信頼には何も登録されていないことが確認できました。
Office365とADFS2.0の連携の場合、New-MsolFederatedDomainコマンドレットを実行すると、
自動的に証明書利用者信頼が作られるので、ADFS2.0で一切の設定をする必要はないのですが、
私の環境では、New-MsolFederatedDomainコマンドレットを実行しても全く登録されていなかったのです。
いちかばちかで、もう一度New-MsolFederatedDomainコマンドレットを実行してみました。
すると、当然のことながら、既にドメインは登録してあるよとエラーが表示されました。
やっぱりそうだよな、と思いながら、もう一度ADFS2.0管理ツールの[証明書利用者信頼]を見てみると…
なんと、証明書利用者信頼が新しく作られていることが確認できました。
ということで、New-MsolFederatedDomainコマンドレットは
・Office365にシングルサインオン用ドメインの登録
・証明書利用者信頼の登録
を同時に行うので、シングルサインオン用ドメインの登録が既に済んでいれば、
上記のようなエラーを吐き出しますが、一方で証明書利用者信頼も登録するのです。
ですので、エラーなど気にせずNew-MsolFederatedDomainコマンドレットを実行せよ、ということでした。
コメント
あまり見かけない事象ですね…ちなみにUpdate-MsolFederatedDomainではNGでしたでしょうか?
Update-MsolFederatedDomainコマンドレットという方法もありましたね。再現性がなく、試せてないのですが、今度出てきたら試してみます。
それにしても、ADFSサーバー上でNew-MsolFederatedDomainを実行しているのに、ローカルの処理に失敗するなんて驚きですね。
ADFSのローカル処理とはいっても、ファーム構成の場合は格納先はActive Directoryです。New-MsolFederatedDomainやConvert-MsolDomainToFederated(Standard)とかではクラウドへの処理とオンプレのADFSへの処理が両方行われるので、タイミングによっては考えられますね。
今回の事象も、ADDSのスナップショットを取っておいて、戻せば再現できるかもですね。