AAD Connectによる代替ID設定

2016/7/19 2016/7/26 ADFS, Microsoft Azure

皆さんこんにちは。国井です。

以前、当ブログでAlternate Login ID(代替ID/代替ログインID)という方法を利用して、Office365(Azure AD)のシングルサインオン(SSO)を構成する方法を紹介しました。
代替IDを使うとディレクトリ同期やSSOにUPNを使わなくなるので、kunii@example.localのようなUPNでも、代替UPNサフィックスを使わないでSSOができるという、ありがたいお話でした。

以前は代替IDの設定は結構面倒だったのですが、AAD Connectでは驚くほど簡単になっています。これって、よく質問されるポイントでもあるので、今日は設定を載せておきます。

■　■　■

AAD Connectを使ってSSO設定を行う際(ウィザードのステップバイステップはこちらに乗せてあります)、AAD Connectのウィザード設定で[Azure AD サインインの構成]というページがあるので、[ユーザープリンシパル名]としてuserPrincipalNameではなく、mailを選択するだけ。

これにより、mail属性をベースにAzure ADへディレクトリ同期が行われ、SSOもmail属性ベースで行われるようになります。

(2016年7月26日追記)
ディレクトリ同期ツールでmail属性を設定するだけ、と思っていたら、ADFSの要求プロバイダー信頼への設定を行ってくれないことが確認できました。そのため、以下の設定を追加でPowerShellから行う必要があるようです。

Set-ADFSClaimsProviderTrust -Target Identifier “AD AUTHORITY” -AlternateLoginID <attribute> -LookupForests <forest domain>

contoso.comドメインのmail属性を利用する場合だったら、こんな感じで実行します。

実行結果はGet-ADFSClaimsProviderTrustコマンドレットで確認できます。

ここまでの結果、AlternateLoginIDクレームにmail属性がセットされ、ID連携の処理が実行されます。

また余談ですが、
(以下、同期ツールに詳しい人だけ見てもらえれば良いです)
Synchronization Servicesツールから同期された様子を見てみると、Azure ADにエクスポートするタイミングでuserPrincipalNameの値にActive DirectoryユーザーのUPNではなく、メールアドレスが入ります。
(もともとのActive DirectoryでのUPN値はonPremisesUserPrincipalName属性の値としてセットされます)

一方、メタバースにユーザーの情報を格納するときは、userPrincipalNameの値にメールアドレスではなく、Active DirectoryでのUPN値が入ります。

そのほか、代替IDを使っている場合、ADFSサーバーから発行されるトークンには、代替ログインIDというクレームが追加され、その中にメールアドレスが入ります。

■　■　■

ADFSを使ったシングルサインオンをしたいけど、UPNを変更したくない、というお客様はいらっしゃるようですが、代替IDを使うことによって、UPNを変えなくても簡単にシングルサインオン環境を構築できることがわかります。ただし、代替IDの利用には、いくつかの制限事項があるのでご注意を(以下参考)。

■代替ログイン ID を構成します
https://technet.microsoft.com/ja-jp/library/dn659436%28v=ws.11%29.aspx?f=255&MSPPError=-2147217396

■(参考サイト)Introduction to Active Directory Federation Services (AD FS) AlternateLoginID Feature
https://blogs.technet.microsoft.com/askpfeplat/2014/04/20/introduction-to-active-directory-federation-services-ad-fs-alternateloginid-feature/

Suguru KUNII

nakamura より:

2016年4月20日 10:35 AM

失礼いたします。
いつも拝見させていただいております。

AADConnectでのAlternate Login ID(代替ログインID)を拝見し、
いくつか質問させていただきたい点があり、コメントをさせていただきました。

現在弊社でOffice365、adfs、wap、AADConnectを使ったID連携を検証しております。

O365へカスタムドメインを追加済みで、以下のようなドメイン
○○○.△△△.co.jp

オンプレドメインは、以下のようなドメイン
XXX.□□□.local

という形で、Office365のドメインとオンプレドメインが別になっております。

またO365へのログインは、UPNではなく、proxyaddress属性へメールアドレスを登録(XXXX＠○○○.△△△.co.jp)してログインをさせております。
(オンプレドメインのUPNの変更の影響が大きいためです。)

この状況で、adfsとwapを建て、

O365ポータルへアクセス、IDパスワード入力
↓
ADFSの認証へリダイレクト
↓
O365へアクセス、OWAでのメール確認、Yammerの表示

という流れで、ブラウザでのOWAや予定表の確認も行うことができたのですが、Outlookを使ってautodiscoverを行うと、認証ダイアログが5回程度表示された結果、暗号化通信を使用した接続ができない。となり、止まってしまいます。

ここでご質問なのですが、

1.これは、検証環境でログインにUPNを使っていないから発生してしまうものなのでしょうか。Outlookを使ってフェデレーションさせる場合、UPNでのログインが必須なのでしょうか。
　
2.Alternate Login IDを使用すれば1.の問題を解消できるものなのでしょうか。

3.ブログに掲載されている、AADConnectを使って、Alternate Login IDを拝見して、インストール済みのAADConnectの同期構成を変更しようと思ったのですが、「ユーザーの識別」のメニューが表示されませんでした。アンインストール/再インストールが必要になるのでしょうか。
　
長文となってしまい、大変恐れ入りますが、
可能な範囲でご教示いただけますと幸いです。

返信
nakamura より:

2016年4月20日 12:48 PM

失礼いたします。
いつも拝見させていただいております。

AADConnectでのAlternate Login ID(代替ログインID)を拝見し、
いくつか質問させていただきたい点があり、コメントをさせていただきました。

現在弊社でOffice365、adfs、wap、AADConnectを使ったID連携を検証しております。

O365へカスタムドメインを追加済みで以下のようなドメイン
○○○.△△△.co.jp

オンプレドメインは
XXX.□□□.local

という形で、Office365のドメインとオンプレドメインが別になっております。

またO365へのログインは、UPNではなく、proxyaddress属性へメールアドレスを登録(XXXX＠○○○.△△△.co.jp)してログインをさせております。(オンプレドメインのUPNの変更の影響が大きいためです。)

この状況で、adfsとwapを建て、

O365ポータルへアクセス、IDパスワード入力
↓
ADFSの認証へリダイレクト
↓
O365へアクセス、OWAでのメール確認、Yammerの表示

という流れで、ブラウザでのOWAや予定表の確認も
行えたのですが、Outlookを使ってautodiscoverを行うと、認証ダイアログが5回程度表示された結果、暗号化通信を使用した接続ができない。となり、止まってしまいます。

ここでご質問なのですが、

1.これは、検証環境でログインにUPNを使っていないから発生してしまうものなのでしょうか。
　Outlookを使ってフェデレーションさせる場合、UPNでのログインが必須なのでしょうか。
　
2.Alternate Login IDを使用すれば1.の問題を解消できるものなのでしょうか。

3.ブログに掲載されている、AADConnectを使って、Alternate Login IDを拝見して、インストール済みのAADConnectの同期構成を変更しようと思ったのですが、「ユーザーの識別」のメニューが表示されませんでした。アンインストール/再インストールが必要になるのでしょうか。
　
長文となってしまい、大変恐れ入りますが、
可能な範囲でご教示いただけますと幸いです。

返信
- Suguru KUNII より:
  
  2016年4月25日 12:34 PM
  
  nakamuraさん、こんにちは。
  Alternate Login IDによるSSOを利用した時の対応状況についてはマイクロソフトのWebサイトで紹介しております。
  
  https://technet.microsoft.com/ja-jp/library/dn659436.aspx
  
  翻訳がわかりにくいのですが、Modern Authentication(先進認証/最新の認証)を利用している場合、OutlookとAlternate Login IDの組み合わせはサポートされています。
  マイクロソフトのWebサイトの情報に基づいてお話をすると、
  Office2016のOutlookは先進認証が自動的に有効になりますが、
  Office2013のOutlookで先進認証を利用する場合には追加の設定が必要になります。
  
  ■Office クライアントで Office 365 先進認証を使用する
  https://support.office.com/ja-jp/article/Office-%E3%82%AF%E3%83%A9%E3%82%A4%E3%82%A2%E3%83%B3%E3%83%88%E3%81%A7-Office-365-%E5%85%88%E9%80%B2%E8%AA%8D%E8%A8%BC%E3%82%92%E4%BD%BF%E7%94%A8%E3%81%99%E3%82%8B-776c0036-66fd-41cb-8928-5495c0f9168a
  
  最後になりますが、AAD Connectはブログ掲載時点からバージョンが上がっているため、一部メニューは既に異なるものになっています。
  特に最近(2016年2～4月)はバージョンアップが多いです。
  参考にしていただけると幸いです。
  
  返信
  - nakamura より:
    
    2016年4月25日 6:11 PM
    
    国井さん
    
    お忙しいところ、ご連絡いただき、
    ありがとうございました。
    
    また、同じコメントを2つも載せてしまい、大変失礼いたしました。
    
    いただいた情報を確認し、再度設定を行ってみたいと思います。
    
    どうぞ宜しくお願い致します。
    
    返信
Saori Ohkawa より:

2016年7月5日 4:28 PM

国井様

先の方と同じ症状に陥っています。
弊社環境では、Office2010 を利用しているのですが、サポート対象外となり Alternate Login ID との組み合わせでは実現出来ないでしょうか。

Office2010 を利用している場合は、UPN の変更でしか対応出来ないでしょうか。
お忙しいところ申し訳ございませんがご回答いただけますと幸いです。

返信
- Suguru KUNII より:
  
  2016年7月6日 3:48 PM
  
  Ohkawaさん、こんにちは。
  
  MSさんの資料
  https://technet.microsoft.com/ja-jp/library/dn659436(v=ws.11).aspx
  に基づくと、Alternate Login ID(代替ID)はOffice2013移行で提供されている先進認証を利用していただくことが必要になるようです。
  そのため、Office2010をご利用の場合にはUPNを利用してSSOを実装していただくことになると思います。
  
  返信
  - Saori Ohkawa より:
    
    2016年7月12日 3:09 PM
    
    国井様
    
    いつも拝見させていただいております。
    お忙しい所、ご返信いただきありがとうございます。
    大変助かりました。
    
    UPN での設定で設定を行ってみたいと思います。
    どうもありがとうございました。
    
    返信