AAD Connectによる代替ID設定

皆さんこんにちは。国井です。

以前、当ブログでAlternate Login ID(代替ID/代替ログインID)という方法を利用して、Office365(Azure AD)のシングルサインオン(SSO)を構成する方法を紹介しました。
代替IDを使うとディレクトリ同期やSSOにUPNを使わなくなるので、kunii@example.localのようなUPNでも、代替UPNサフィックスを使わないでSSOができるという、ありがたいお話でした。

以前は代替IDの設定は結構面倒だったのですが、AAD Connectでは驚くほど簡単になっています。これって、よく質問されるポイントでもあるので、今日は設定を載せておきます。

■ ■ ■

AAD Connectを使ってSSO設定を行う際(ウィザードのステップバイステップはこちらに乗せてあります)、AAD Connectのウィザード設定で[Azure AD サインインの構成]というページがあるので、[ユーザープリンシパル名]としてuserPrincipalNameではなく、mailを選択するだけ。

image

これにより、mail属性をベースにAzure ADへディレクトリ同期が行われ、SSOもmail属性ベースで行われるようになります。

(2016年7月26日追記)
ディレクトリ同期ツールでmail属性を設定するだけ、と思っていたら、ADFSの要求プロバイダー信頼への設定を行ってくれないことが確認できました。そのため、以下の設定を追加でPowerShellから行う必要があるようです。

Set-ADFSClaimsProviderTrust -Target Identifier “AD AUTHORITY” -AlternateLoginID <attribute> -LookupForests <forest domain>

contoso.comドメインのmail属性を利用する場合だったら、こんな感じで実行します。
無題


実行結果はGet-ADFSClaimsProviderTrustコマンドレットで確認できます。
無題2

ここまでの結果、AlternateLoginIDクレームにmail属性がセットされ、ID連携の処理が実行されます。

また余談ですが、
(以下、同期ツールに詳しい人だけ見てもらえれば良いです)
Synchronization Servicesツールから同期された様子を見てみると、Azure ADにエクスポートするタイミングでuserPrincipalNameの値にActive DirectoryユーザーのUPNではなく、メールアドレスが入ります。
(もともとのActive DirectoryでのUPN値はonPremisesUserPrincipalName属性の値としてセットされます)

image

一方、メタバースにユーザーの情報を格納するときは、userPrincipalNameの値にメールアドレスではなく、Active DirectoryでのUPN値が入ります。

そのほか、代替IDを使っている場合、ADFSサーバーから発行されるトークンには、代替ログインIDというクレームが追加され、その中にメールアドレスが入ります。

■ ■ ■

ADFSを使ったシングルサインオンをしたいけど、UPNを変更したくない、というお客様はいらっしゃるようですが、代替IDを使うことによって、UPNを変えなくても簡単にシングルサインオン環境を構築できることがわかります。ただし、代替IDの利用には、いくつかの制限事項があるのでご注意を(以下参考)。

■代替ログイン ID を構成します
https://technet.microsoft.com/ja-jp/library/dn659436%28v=ws.11%29.aspx?f=255&MSPPError=-2147217396

■(参考サイト)Introduction to Active Directory Federation Services (AD FS) AlternateLoginID Feature
https://blogs.technet.microsoft.com/askpfeplat/2014/04/20/introduction-to-active-directory-federation-services-ad-fs-alternateloginid-feature/

コメント

  1. nakamura より:

    失礼いたします。
    いつも拝見させていただいております。

    AADConnectでのAlternate Login ID(代替ログインID)を拝見し、
    いくつか質問させていただきたい点があり、コメントをさせていただきました。

    現在弊社でOffice365、adfs、wap、AADConnectを使ったID連携を検証しております。

    O365へカスタムドメインを追加済みで、以下のようなドメイン
    ○○○.△△△.co.jp

    オンプレドメインは、以下のようなドメイン
    XXX.□□□.local

    という形で、Office365のドメインとオンプレドメインが別になっております。

    またO365へのログインは、UPNではなく、proxyaddress属性へメールアドレスを登録(XXXX@○○○.△△△.co.jp)してログインをさせております。
    (オンプレドメインのUPNの変更の影響が大きいためです。)

    この状況で、adfsとwapを建て、

    O365ポータルへアクセス、IDパスワード入力

    ADFSの認証へリダイレクト

    O365へアクセス、OWAでのメール確認、Yammerの表示

    という流れで、ブラウザでのOWAや予定表の確認も行うことができたのですが、Outlookを使ってautodiscoverを行うと、認証ダイアログが5回程度表示された結果、暗号化通信を使用した接続ができない。となり、止まってしまいます。

    ここでご質問なのですが、

    1.これは、検証環境でログインにUPNを使っていないから発生してしまうものなのでしょうか。Outlookを使ってフェデレーションさせる場合、UPNでのログインが必須なのでしょうか。
     
    2.Alternate Login IDを使用すれば1.の問題を解消できるものなのでしょうか。

    3.ブログに掲載されている、AADConnectを使って、Alternate Login IDを拝見して、インストール済みのAADConnectの同期構成を変更しようと思ったのですが、「ユーザーの識別」のメニューが表示されませんでした。アンインストール/再インストールが必要になるのでしょうか。
     
    長文となってしまい、大変恐れ入りますが、
    可能な範囲でご教示いただけますと幸いです。

  2. nakamura より:

    失礼いたします。
    いつも拝見させていただいております。

    AADConnectでのAlternate Login ID(代替ログインID)を拝見し、
    いくつか質問させていただきたい点があり、コメントをさせていただきました。

    現在弊社でOffice365、adfs、wap、AADConnectを使ったID連携を検証しております。

    O365へカスタムドメインを追加済みで以下のようなドメイン
    ○○○.△△△.co.jp

    オンプレドメインは
    XXX.□□□.local

    という形で、Office365のドメインとオンプレドメインが別になっております。

    またO365へのログインは、UPNではなく、proxyaddress属性へメールアドレスを登録(XXXX@○○○.△△△.co.jp)してログインをさせております。(オンプレドメインのUPNの変更の影響が大きいためです。)

    この状況で、adfsとwapを建て、

    O365ポータルへアクセス、IDパスワード入力

    ADFSの認証へリダイレクト

    O365へアクセス、OWAでのメール確認、Yammerの表示

    という流れで、ブラウザでのOWAや予定表の確認も
    行えたのですが、Outlookを使ってautodiscoverを行うと、認証ダイアログが5回程度表示された結果、暗号化通信を使用した接続ができない。となり、止まってしまいます。

    ここでご質問なのですが、

    1.これは、検証環境でログインにUPNを使っていないから発生してしまうものなのでしょうか。
     Outlookを使ってフェデレーションさせる場合、UPNでのログインが必須なのでしょうか。
     
    2.Alternate Login IDを使用すれば1.の問題を解消できるものなのでしょうか。

    3.ブログに掲載されている、AADConnectを使って、Alternate Login IDを拝見して、インストール済みのAADConnectの同期構成を変更しようと思ったのですが、「ユーザーの識別」のメニューが表示されませんでした。アンインストール/再インストールが必要になるのでしょうか。
     
    長文となってしまい、大変恐れ入りますが、
    可能な範囲でご教示いただけますと幸いです。

  3. Saori Ohkawa より:

    国井様

    先の方と同じ症状に陥っています。
    弊社環境では、Office2010 を利用しているのですが、サポート対象外となり Alternate Login ID との組み合わせでは実現出来ないでしょうか。

    Office2010 を利用している場合は、UPN の変更でしか対応出来ないでしょうか。
    お忙しいところ申し訳ございませんがご回答いただけますと幸いです。

    • Suguru KUNII より:

      Ohkawaさん、こんにちは。

      MSさんの資料
      https://technet.microsoft.com/ja-jp/library/dn659436(v=ws.11).aspx
      に基づくと、Alternate Login ID(代替ID)はOffice2013移行で提供されている先進認証を利用していただくことが必要になるようです。
      そのため、Office2010をご利用の場合にはUPNを利用してSSOを実装していただくことになると思います。

      • Saori Ohkawa より:

        国井様

        いつも拝見させていただいております。
        お忙しい所、ご返信いただきありがとうございます。
        大変助かりました。

        UPN での設定で設定を行ってみたいと思います。
        どうもありがとうございました。

コメントをどうぞ

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください