対象: 旧Office 365 Office 365 for Enterprise, Office 365 for Small Business, Office 365 for Education

新Office 365 Office 365 Enterprise, Office 365 Small Business, Office 365 Midsize Business

(この記事は Office 365 Technology Blog に 2013 年 7 月 26 日に投稿された記事の翻訳です)

投稿者: Office 365 チーム、投稿日: 7 月 26 日

今回は、Office 365 チームで ID および Commerce 担当のテクニカルプロダクトマネージャーを務める Paul Andrew の投稿をご紹介します。

Office 365 では、ユーザーのログイン管理とユーザープロファイルの格納に Windows Azure Active Directory (Azure AD) を使用しています。ディレクトリ同期ツール (DirSync) により、オンプレミス環境に実装されている Active Directory とクラウド環境の Azure AD の間でユーザープロファイルが同期されているため、オンプレミスの Active Directory に存在するユーザープロファイルは、すべて Office 365 でも使用可能です。

先日、新しいバージョンの DirSync がリリースされ、ユーザーのパスワードハッシュを同期できるようになりました。これにより、オンプレミスでのログインとクラウドでのログインに、個別のパスワードを設定する必要がなくなりました。この機能が導入される以前は、ID フェデレーションサーバーの展開を行わなければ同一のパスワードを使用できず、より大規模な実装プロジェクトとなっていました。クラウドと同期されるパスワードハッシュは、ユーザーのパスワードに基づいて不可逆な数学的計算で発行されます。ここから逆にたどって、ユーザーのパスワードをプレーンテキストとして得ることは不可能です。パスワードハッシュの同期により、各ユーザーはオンプレミスのパスワードを使用して Office 365 にログインできるようになります。

この記事では、Office 365 に関するディレクトリの同期とパスワードハッシュの同期について説明します。

クラウドにおけるユーザー ID

ここで、いったんクラウドコンピューティングや SaaS アプリケーションが普及する前の時代についてお話しします。かつては、圧倒的多数のソフトウェアが、ネットワーク接続に ID プロバイダーとして Active Directory を使用している PC で実行されていました。その環境では、PC でソフトウェアを実行することは、つまり PC にログイン済みであることを意味しています。ソフトウェアでユーザー名が必要になったり、何らかの個人用設定を行ったりする場合は、ソフトウェアは API 呼び出しを使用しているユーザーを PC に確認するだけで済みました。すべてのソフトウェアが同一の ID プロバイダー (Active Directory) で共有されていたため、新たにアプリケーションを起動するときに、再度ログインが必要になることはありませんでした。

しかし、SaaS アプリケーションは少し事情が異なります。ローカルコンピューターにインストールされているわけではなく、またローカルの Active Directory ドメインコントローラーにアクセスすることもないため、SaaS アプリケーションでは他の無関係の ID プロバイダーがよく使用されます。その結果、ユーザーが複数のクラウドベースアプリケーションを使用する場合、それぞれに対してユーザー名とパスワードを管理する必要がありました。その解決法として、シングルサインオン (SSO) が広く知られています。SSO は、2 つの個別の ID プロバイダー (IDP) 間で相互に信頼関係を構築する機能です。ユーザーがいったん IDP にログインすると、もう 1 つの IDP によってセキュリティ管理されているリソースにアクセスするときに、再度ログインする必要がなくなります。この信頼関係はフェデレーションと呼ばれ、これを使用して SSO が実装されます。SSO には、すべてのソフトウェアがユーザーの PC 上で実行されていて単一のユーザーがログインしている場合と、同じように扱うことができるというメリットがあります。

ディレクトリ同期では、SSO 機能は提供されません。オンプレミスでログインしているユーザーも、Office 365 へは別途ログインする必要があります。しかし、同期することで同じユーザー名でログインすることが可能となり、さらにパスワードハッシュを同期するとパスワードも同じものを使用することができます。ディレクトリ同期は SSO を構成するよりもはるかに簡単に実行できるため、パスワードハッシュの同期は、多くのお客様にとって非常に有効な手段となるはずです。

Office 365 では、下図に示すように、大きく分けて 3 つの ID プロバイダーオプションを選択できます。

Office 365 のクラウド ID

クラウド ID を使用すると、Office 365 でのユーザー認証が最も簡単に実行できます。この手法は、新しい企業、または既存の専用オンプレミスディレクトリを所有していない中小企業向けなど、新しいユーザーディレクトリで新しいユーザー名とパスワードを使用する必要のある組織に適しています。クラウド ID モデルを採用する場合は、各ユーザーについて、オンプレミスの ID プロバイダーとの関連付けが行われません。管理はクラウド内のみで実施されるため、各ユーザーはクラウド内で自身のパスワードを管理します。

ユーザーが意識することはありませんが、Office 365 は Azure AD でユーザー用の新しいインスタンスを作成します。Azure AD は、常に Office 365 のバックグラウンドでユーザーディレクトリとして機能しています。オンプレミスの Active Directory が Exchange、SharePoint、Lync、およびユーザーのカスタム LOB アプリケーションのユーザーアカウントを格納するのと同様に、Azure AD も Exchange Online、SharePoint Online、Lync Online、およびクラウド内でユーザーが構築したカスタムアプリケーションの情報を格納します。Office 365 ユーザー用の Azure AD の管理は、すべて標準の Office 365 管理ポータルで実行できます。Azure AD はこれまで Office 365 で使用されてきましたが、2012 年 7 月以降、他の Web ベースアプリケーションでも使用できるようになっています。

ディレクトリ同期

ディレクトリ同期は、既存の Windows Active Directory インフラストラクチャが存在し、それを使用しているユーザーが Office 365 にもアクセスする必要がある場合に使用します。DirSync ツールをドメイン内のメンバーサーバーにインストールすると、ユーザープロファイルが定期的に Office 365 と同期されます。このとき、同期処理はユーザーオブジェクトの Source Anchor 属性に基づいて行われます。ディレクトリ同期では、クラウドのディレクトリに手動でユーザーを作成したり、新たにユーザー名とパスワードを作成したりする必要はありません。パスワードハッシュ同期の導入により、ユーザーがパスワードを 2 つの場所で管理する必要はなくなりました。ただし、パスワードハッシュ同期が有効化されていない場合は、各ユーザーがクラウドで新しいパスワードを作成する必要があるので注意してください。

下図は、Office 365 管理センターの [ユーザーとグループ] ページです。ここでディレクトリ同期を構成できます。

DirSync の展開は非常に簡単で、Office 365 管理センターで [Active Directory 同期] を選択し、続いて以下の 6 つの手順を実行するだけです。この手順については、Office 365 管理センターで詳しく説明しています。

ディレクトリ同期の準備
ドメインの検証
Active Directory の同期の有効化
ディレクトリ同期ツールのインストールと構成
ディレクトリ同期の検証
同期されたユーザーの有効化

簡単な準備作業を済ませた後、Active Directory のドメインコントローラーに接続されている Windows Server に、DirSync ツールをダウンロード、インストールします。DirSync のダウンロード先へのリンクは、Office 365 管理ポータルで 6 つの手順と共に記載されています。DirSync のインストールは簡単なウィザード形式で行われ、インストール完了後すぐに使用可能です。このツールはインストール先のサーバーで定期的に実行され、ユーザーアカウント (およびその他のディレクトリデータ) を Azure AD に同期します。このツールは、ユーザーオブジェクトの同期を 3 時間ごと、パスワード変更の同期を 2 分ごと実行します。Office 365 のテナントでは、前述のクラウド ID と、オンプレミスの Active Directory から同期された ID を組み合わせることも可能です。

一部の例外を除いて、データの同期は常にオンプレミスからクラウドへの一方向のみで実行されます。つまり、ユーザー ID はクラウドとオンプレミスのいずれか一方で管理することはできますが、両方で管理することはできません。オンプレミスで管理さ��ているユーザーは、オンプレミスでのみ編集可能で、ユーザーは自身のパスワードを変更することができます。同期対象のユーザーは、職場で操作するか VPN で企業ネットワークへ接続しないと、パスワードを変更することはできません。

Office 365 に同期するユーザーを選択することは可能ですが、ユーザープロファイルから特定のユーザーの属性を選択することはできず、すべての属性が対象となります。

新しいパスワードハッシュ同期機能は、ユーザーのパスワードから不可逆なハッシュを生成し、高度なセキュリティ処理を適用して Azure AD に同期します。パスワードがプレーンテキスト形式で Azure AD に送信されることは決してありません。今回のリリース以前は、DirSync ツールにパスワードハッシュの同期機能が備わっていなかったため、オンプレミスで使用するときには Office 365 と異なるパスワードを入力する必要がありました。今回導入されたパスワードハッシュ同期機能は、マイクロソフトのパスワード変更通知サービスとは異なり、より先進的で、安全性も向上しています。

次のスクリーンショットは、DirSync のインストールウィザードに新しく追加された、パスワードハッシュ同期機能の有効化確認画面です。

DirSync ツールにパスワードハッシュ同期機能を追加する際、1 つだけ構成オプションがあります。このオプションは、構成ウィザード内にチェックボックスとして表示され、ユーザープロファイルの属性に加えてパスワードハッシュも同期するかどうかを選択するものです。これを有効にすると、同期対象となる全ユーザーのパスワードハッシュが同期されます。

ディレクトリのフェデレーション

ディレクトリのフェデレーションとは、Azure AD (つまり Office 365) と他のディレクトリがフェデレーション状態にあることを指します。これにより、対象ディレクトリと信頼関係が構築され、ユーザー認証要求が処理されるようになります。簡単に言うと、ログイン要求はすべてフェデレーションされたディレクトリで管理され、Office 365 ではパスワードが確認されなくなるということです。ユーザーがパスワードを入力したログインフォームは、実際にはフェデレーションされた ID プロバイダーのものです。この場合、Office 365 は証明書利用者 (RP) となり、認証の確認はフェデレーションされたディレクトリに委任されます。いったんユーザー認証に成功すると、フェデレーションされたディレクトリから Office 365 に対し、そのユーザーが認証済みであることを示す許可がデジタル署名の形で発行されます。

Office 365 でのフェデレーションは、オンプレミスの Windows Active Directory との間で Active Directory フェデレーションサービス (ADFS) を使用して実施される場合が一般的です。ADFS は、インターネットに接続されている企業ネットワークまたは非武装地帯、および企業のディレクトリ内の両方に展開されている、追加のサーバーに実装されます。フェデレーションでは、まず該当ユーザーがオンプレミスのディレクトリに存在することを Azure AD が認識している必要があるため、ディレクトリの同期はディレクトリフェデレーションの前提条件となります。フェデレーションは、認証および承認のフローにおいて排他的に使用されます。たとえばユーザーが電子メールの送信相手を参照するときなどに、アドレス帳機能でフェデレーションが使用されることはありません。

フェデレーションの構成は、Office 365 管理ポータルのステップバイステップガイドの手順に従って実行することができます。

フェデレーションを避け、パスワードハッシュ同期で対応

ADFS を使用してフェデレーションを展開する主な目的は、オンプレミスとクラウドの両方のセッションで同一のパスワードを使用できるようにすることです。しかし、フェデレーションの展開には、サーバーやネットワークの追加実装が必要となるため、ある程度の手間がかかります。また、オンプレミスサーバーを、企業のファイアウォールを通して安全にインターネットアクセスできる状態にしなければならず、さらに、インターネット接続が切断されてログインできないという状況が発生しないように、高い可用性を維持する必要があります。

一方、パスワードハッシュ同期はディレクトリ同期の機能であるため、オンプレミスのサーバーから開始でき、フェデレーションを導入するよりもインフラストラクチャ要件が少なく、コストも抑えられます。また、この機能で必要とされるのは 1 つのサーバーのみです。Azure AD に接続するためにインターネットへの送信アクセスが求められるだけで、受信接続を行ったり、カスタムファイアウォールを開いたり、高可用性構成で実行したりする必要はありません。

以下に挙げるように、DirSync によるパスワードハッシュ同期ではなく ADFS によるディレクトリのフェデレーションを選択する理由はまだ他にも存在します。

ADFS を構成すると、ドメインに参加し接続されているコンピューターに既にログインしているユーザーは、Office 365 サインイン時にパスワードの再入力が不要です。パスワードの再入力が必要ないということは、つまり、真のシングルサインオンが実現されるということです。DirSync とパスワードハッシュ同期機能を使用する場合、ユーザーはオンプレミスで使用しているパスワードと同一のものを使用できますが、パスワードの再入力を求められます。
ADFS ではクライアントアクセスのフィルタリングが可能で、IP アドレスに基づいて Exchange Online へのアクセスを制限することができます。
ADFS では、Active Directory で設定されているユーザーのログイン時間制限が適用されます。
ADFS では、ユーザーのパスワード変更用 Web ページを企業ネットワークの外側に設置できます。
ADFS では、認証の決定はすべてオンプレミスで行い、パスワードハッシュをクラウドに同期することはありません。もちろんこれは、セキュリティポリシーの要件となる場合があります。
ADFS では、管理者がユーザーをブロックして即座にアクセス許可を取り消すことができます。一方 DirSync では、こうした変更の同期は 3 時間ごとに実行されます (パスワードの変更に限り、2 分ごとに同期されます)。
ADFS では、オンプレミスで展開された多要素認証製品が使用できます。Azure AD では多要素認証がサポートされているものの、サードパーティ製多要素認証製品を使用するにはほとんどの場合、オンプレミスとの統合が必要です。
Microsoft Forefront Identity Manager (FIM) の機能が必要となり、FIM を使用する場合、FIM のディレクトリ同期にはパスワードハッシュ同期は含まれていないため、SSO によるログインには ADFS が必須です。
一部のオンプレミスとクラウドのハイブリッドシナリオでは、ハイブリッド検索などに ADFS が必要です。

上記の機能がいずれか 1 つでも必要な場合は、Active Directory フェデレーションサービスの使用が最適です。

Office 365 で使用できる、その他のディレクトリ統合オプション

Microsoft Forefront Identity Manager

Forefront Identity Manager は、マイクロソフトが提供する、非常に包括的な ID 管理ソリューションです。この製品も、Active Directory フォレストが複数存在する場合、またはActive Directory 以外のサービスがオンプレミスに存在する場合に、Active Directory から Azure AD にユーザープロファイルを同期して Office 365 で使用できるようにすることが可能です。この場合、Office 365 用の FIM コネクタが使用されますが、これは現時点ではパスワードハッシュ同期をサポートしていません。

ID のフェデレーションという目的では、ADFS と Forefront Identity Manager を併用するように構成できます。これにより、企業ネットワークと Office 365 で同一のパスワードを使用可能となり、シングルサインオンが実現できます。

DirSync と Forefront Identity Manager のいずれも、Microsoft Active Directory が必要です。

WS-* ベースのサードパーティ製 ID プロバイダー

WS-* には、Office 365 の Web プロパティからのパッシブ認証に対応する WS-Federation や、Office 365 にアクセスする Office のリッチクライアントからのアクティブ認証に対応する WS-Trust があります。アクティブ認証は、Office 365 にアクセスするリッチクライアントや Office 365 ProPlus のライセンスでは必須です。Office 365 ProPlus は Office 365 SKU の一種で、Word、Excel、PowerPoint、Outlook、および Lync などの Office リッチクライアントアプリケーションが含まれています。これらの製品のライセンス認証にはアクティブ認証が必要で、WS-Trust がこれを担当します。

マイクロソフトは、Office 365 と連携する WS-* ベースのサードパーティ製 ID プロバイダーを認定する、"Works with Office 365 – Identity (Office 365 との連携 - ID)"というプログラムを進めています。Works with Office 365 - Identityプログラムで認定されている ID プロバイダーを既にお使いのお客様もいらっしゃるかと思います。WS-Federation と WS-Trust の両方をサポートしているプロバイダーもありますが、一部、Web ベースのパッシブ認証を行う WS-Federation のみをサポートしているプロバイダーもあります。

詳細は、Works with Office 365 - Identity プログラムに関する TechNet の記事をお読みください。

Shibboleth ベースのサードパーティ製 ID プロバイダー

Shibboleth は、学術界で広く使用されている ID プロバイダーです。Shibboleth は Azure AD でサポートされており、Office 365 と併用する実装については TechNet で説明されています。

詳細については、Shibboleth ID プロバイダーによるシングルサインオンの実装に関する TechNet の記事をお読みください。

その他の ID プロバイダーと独自の手法

Azure AD では、PowerShell を使用して、プログラム的にディレクトリにアクセスすることもできます。

詳細は、PowerShell を使用した Azure AD の管理に関する TechNet の記事 (英語)をお読みください。

Azure AD Graph は、ディレクトリへのアクセスを提供します。

詳細については、Azure AD Graph の概要に関する MSDN の記事をお読みください。

これら 2 つのツールを使用して独自のソリューションを構築し、Azure AD とのユーザー ID の同期を実行して Office 365 で使用することができます。