対象: 旧Office 365 Office 365 for Enterprise, Office 365 for Education
新Office365 Office 365 Enterprise, Office 365 Midsize Business
(この記事は Office 365 for business Blog に 2013 年 9 月 3 日に投稿された記事の翻訳です)
投稿者: Paul Andrew、投稿日: 9 月 3 日
Paul Andrew (@pndrw) は Office 365 チームで ID 管理を担当するテクニカル プロダクト マネージャーです。
社内ディレクトリとは、サインインしてアプリケーションを使用できるユーザーや、電子メールを送ったり、ドキュメントへのアクセス権を付与したりする際に参照するユーザーが記載されたリストです。Office 365 では、このディレクトリ内のユーザー アカウントを管理する手法が 3 つあります。クラウド ID、ディレクトリ同期、フェデレーション ID です。この記事では、この 3 つの手法について説明します。上記のうちフェデレーション ID を使用しているお客様は、多くの場合、ディレクトリを格納してある既存の (サード パーティ製) ID プロバイダーと Office 365 を統合する必要があります。後ほど説明する Works with Office 365-Identity プログラムでは、サード パーティ製の ID プロバイダーを認定することにより、この統合プロセスを簡素化します。
Office 365 でユーザー アカウントを管理する 3 つの手法
1. クラウド ID: ユーザーは Office 365 内で作成および管理され、Windows Azure Active Directory (AD) に格納されます。他のディレクトリには一切接続されません。
クラウド ID は、ID プロバイダーと統合する必要はありません。ユーザーは皆クラウド上で作成され、アカウントは Windows Azure AD 内にのみ存在します。
2. ディレクトリ同期: ユーザーは、オンプレミスの ID プロバイダーで作成および管理され、Windows Azure AD に同期されることで、Office 365 にログインできるようになります。
ディレクトリ同期では、既存のオンプレミス ディレクトリを Windows Azure AD に同期させます。これは、ディレクトリ同期ツールを使用して、オンプレミスの Active Directory から行えます。また、PowerShell と Azure AD Graph APIを使用して、AD 以外のオンプレミス ディレクトリから行うこともできます。この同期では、アカウントはオンプレミスで管理され、Office 365 のクラウド インターフェイスを通してプロパティを編集することはできません。Active Directory をディレクトリ同期ツールと一緒に使用している場合には、パスワード ハッシュの同期が可能なので、ユーザーはオンプレミスとクラウドに同じパスワードでログインできます。ディレクトリ同期とパスワード ハッシュ同期についての詳細は、ディレクトリ同期およびパスワード同期に関する TechNet 記事 (英語)をお読みください。
3. フェデレーション ID:ディレクトリ同期と同様、ログイン要求はオンプレミス ID プロバイダーで処理されます。フェデレーション ID は、通常、シングル サインオン機能の実装に使用されます。
フェデレーションでは、ユーザーはフェデレーションされた ID プロバイダーでパスワードが確認され、サインインされます。クラウド ベースのディレクトリがユーザーを認識するため、ディレクトリの同期が前提条件となります。フェデレーション ID を使用する場合、多くの Office 365 ユーザーは、Active Directory フェデレーション サービスを使用して、オンプレミスの Microsoft Active Directory インフラストラクチャでログイン パスワードの確認を行っています。中には、サード パーティ製の ID プロバイダーを利用するお客様もいらっしゃいます。マイクロソフトでは、認定済みのさまざまなサード パーティ製 ID プロバイダーと Office 365 の接続をサポートしています。フェデレーションのオプションは、次のとおりです。
- Active Directory フェデレーションサービスを使用した Microsoft Active Directory。詳細については、Active Directory フェデレーションサービスの概要をお読みください。
- Works with Office 365-Identity プログラムで認定されたサードパーティ製 WS-* ベースの ID プロバイダー。
- Shibboleth ID プロバイダー。Shibboleth は、SAML 2.0 ID プロバイダーです。詳細については、Shibboleth ID プロバイダーによるシングルサインオンの実装に関する Technet の記事をお読みください。
Works with Office 365 - Identity プログラム
Works with Office 365-Identity プログラムでは、Office 365 に対応したサードパーティ製 ID プロバイダーのテストと認定を行っています。Office 365 では、ID 管理に Windows Azure Active Directory を使用しており、これには、ディレクトリの同期とフェデレーションも含まれています。マイクロソフトでは、Office 365 ユーザーに対して、Works with Office 365-Identity プログラムに認定された、フェデレーション状態にある ID プロバイダーの使用をサポートしています。マイクロソフトのテストを受けていない ID プロバイダーは、Office 365 とフェデレーションする資格を満たしません。
Office 365 をご利用のお客様は、Works with Office 365-Identity プログラムで認定された ID プロバイダーをご利用いただけます。これらの ID プロバイダーは、マイクロソフトにより構成に問題がないかテストされているうえ、Office 365 をサポートしています。ただし、サード パーティ製 ID プロバイダーの設定やトラブルシューティングの詳細については、マイクロソフトではなく、サード パーティに直接お問い合わせください。
Works with Office 365-Identity プログラムは、現在 WS-* ベースの ID プロバイダーの認定に力を入れています。このプロバイダーでは、以下の 2 つのプロトコルのいずれかを使用します。
- WS-Federationは、Web インターフェイスを使用した Office 365 へのサインインをサポートするプロトコルです。「パッシブ認証」として知られ、Office 365 ポータル、SharePoint Online、Outlook Web Access、Office Web Apps に対応しています。
- WS-Trustは、Office クライアントアプリケーションを使用した Office 365 へのサインインをサポートするプロトコルです。「アクティブ認証」として知られ、Outlook、Lync、Word、Excel、PowerPoint、OneNote に対応しています。
SAML-P や Shibboleth は、WS-* のプロトコルの代替プロトコルにあたり、WS-Federation 同様、Web アプリケーションへのサインインに対するサポートを提供します。必要に応じて、Enhanced Client or Proxy (ECP) 拡張機能を使用し、Outlook にサインインすることもできます。他の Office クライアント アプリケーションからの Office 365 へのサインインには、SAML-P と Shibboleth は使用できません。
認定された Works with Office 365-Identity パートナーを、それぞれが使用するプロトコル別に以下に紹介します。
Works with Office 365-Identityプログラムで認定されている特定のバージョン番号など、ID プロバイダーの詳細情報については、TechNet の記事を参照してください。
Works with Office 365-Identity プログラムに関してよく寄せられる質問
Q: 認定されていない ID プロバイダーで Office 365 を使用したいのですが。
A: マイクロソフトは、継続的に ID プロバイダーの認定を行っています。更新を定期的に確認してください。担当のマイクロソフト アカウント マネージャーがいる場合は、そちらに直接ご相談ください。
Q: リストに登録されていない ID プロバイダーの者です。Works with Office 365-Identity プログラムに認定されるにはどうすればよいですか。
A: 現在、同プログラムの新規パートナーを登録する過程で遅れが出ていますが、ぜひマイクロソフトまでお問い合わせください。ただし、回答には時間がかかる場合がございます。idp@microsoft.com宛てに電子メールをお送りください。
-- Paul Andrew、@pndrw