対象: 新Office365 Office 365 Enterprise, Office 365 Small Business, Office 365 Midsize Business
(この記事は 2014 年 3 月 6 日に Office Blog に投稿された記事の翻訳です)
投稿者: Office 365 チーム、投稿日: 2014 年 3 月 6 日
今回は、Office 365 チームで ID および Commerce 担当のテクニカル プロダクト マネージャーを務める Paul Andrew の投稿をご紹介します。
マイクロソフトは、Office 365 ユーザーを対象に、Security Assertion Markup Language (SAML) 2.0 によるフェデレーションをサポートすることを発表しました。これは、Active Directory 以外のオンプレミスの ID プロバイダーを利用している Office 365 ユーザーに向けた新機能の 1 つで、他の機能と併せて、Web ベースの Office アプリケーションで、アカウントの同期、サインインのフェデレーション、およびシングル サインオンを可能にするパッシブ認証の利用範囲の拡大を実現します。この機能は、今後 Office デスクトップ クライアントへの拡張も予定されています。これらの新機能を使用する場合、ID プロバイダーが LDAPv3、および SAML 2.0 とその SP-Lite のプロファイルをサポートしている必要があります。Office 365 の ID 管理では Windows Azure Active Directory (Windows Azure AD) の使用が必須ですが、今回、SAML 2.0 を使用するように Windows Azure AD を構成できるようになりました。Windows Azure AD では、サインインのフェデレーションで既に WS-Federation、WS-Trust、および Shibboleth をサポートしていますが、今回、ユーザーのサインインに広く使用されている標準的なフェデレーションである SAML 2.0 が、これに加わります。これにより、サインイン用の Web フォームに ID プロバイダーのものではなく Office 365 などのアプリケーションのものを表示しつつ、実際の認証の判断を ID プロバイダーが実行することができます。この認証の判断は、SAML トークンで Office 365 に渡されます。
SAML 2.0 によるサインインのフェデレーションと、それを利用した Office 365 での ID 管理
Office 365 での ID 管理を表すこのブロック図で示されているように、アカウントの同期は、オンプレミスのディレクトリから Windows Azure AD の向き (オレンジの矢印) で実行する必要があります。サインインのフェデレーションは、サインインの要求が発行されると Windows Azure AD から実行されます (青色の矢印)。
SAML 2.0 の SP-Lite プロファイルのフェデレーション
SAML 2.0 によるサインインのフェデレーションとは、SAML 2.0 を使用するオンプレミスのディレクトリを使用中のユーザーが、パッシブ認証のシナリオで Office 365 と直接フェデレーションできるようにすることです。パッシブ認証のシナリオとは、ID プロバイダーが表示する Web フォームからユーザーがサインインする場合を指します。マイクロソフトでは、Active Directory フェデレーション サービスと併用する WS-Federation と WS-Trust のサポート、および Works with Office 365 - Identity プログラムで承認されたその他の WS-* ID プロバイダーのサポートを継続します。SAML 2.0 でのフェデレーションの詳細については、『Office 365 SAML 2.0 フェデレーション実装者ガイド (英語)』を参照してください。Office 365 とのフェデレーションに SAML 2.0 を使用している ID プロバイダーの皆様には、Works with Office 365 - Identity プログラムの要件を満たしているかどうかテストを実施し、認定を取得されることを推奨します。認定された場合、統合テストが完了しているとしてマイクロソフトのリストに掲載されるため、フェデレーションの相互運用性についてお客様に安心感を持っていただくことができます。
LDAPv3 でのディレクトリ同期
ユーザーがサインインのフェデレーションを利用するには、対象のアカウントが Windows Azure AD と同期されている必要があります。このとき、Forefront Identity Manager 2010 R2 と、Generic LDAP 用 Forefront Identity Manager コネクタを使用すると、LDAPv3 をサポートしているディレクトリからアカウントを同期できます。詳細については、Microsoft Forefront Identity Manager 2010 R2 (英語)および FIM 2010 R2 用 Generic LDAP コネクタに関するテクニカル リファレンス (英語)を参照してください。Office 365 への接続の場合、Forefront Identity Manager 2010 R2 で FIM 2010 R2 用 Windows Azure Active Directory コネクタも必要となるので、注意してください。この他に、Windows Azure AD とアカウントを同期する方法として、DirSync ツールを使用したり、アカウントをアップロードする PowerShell スクリプトを作成したりする方法があります。
Office デスクトップ アプリケーションとパッシブ認証の今後のロードマップ
Office のほとんどのデスクトップ アプリケーションではアクティブ認証が必要ですが、これは SAML 2.0 では実現できません。現時点では、アクティブ認証には ID プロバイダーが WS-Trust を実装することが必須です。このため、現状では、SAML 2.0 をベースとする ID プロバイダーを使用していると、Office 365 の使用シナリオのうち Office デスクトップ アプリケーションの利用が含まれるさまざまな場合に対応できません。数週間前に公開した Office 365 の多要素認証に関するブログ記事では、Office デスクトップ アプリケーションの今後の更新で、ネイティブな多要素認証をサポートすることを発表しました。この更新では、Office デスクトップ アプリケーションからの SAML 2.0 によるパッシブ認証の導入も予定されています。これらの新機能が Office デスクトップ アプリケーションで利用できるようになるまでは、SAML 2.0 または Shibboleth で下記を実現することはできま��んので、ご注意ください。
- Lync デスクトップ クライアントの使用
- SharePoint Online からファイルにアクセスしたときの Word、Excel、PowerPoint、Visio などのアプリケーションの使用
- Office デスクトップ アプリケーションに使用する Office 365 ProPlus のライセンス取得
- PowerShell による Office 365 へのアクセス
- Outlook デスクトップ クライアントの使用 (ID プロバイダーが ECP エンドポイントを提供している場合を除く)
- モバイル クライアントから Exchange Online への接続 (ID プロバイダーが ECP エンドポイントを提供している場合を除く)
この Office 2013 クライアント アプリケーションの更新は、2014 年後半に予定されています。それまでは、該当するアプリケーションでは WS-Federation および WS-Trust が、Active Directory フェデレーション サービス、または Works with Office 365 - Identity プログラムで認定されたパートナーのソリューションで実装されている必要があります。
サインインのフェデレーションに関するその他のオプション
ここまでに説明した SAML 2.0 に加えて、Windows Azure AD では下記のフェデレーション オプションもサポートしています。この詳細については、TechNet の「シングル サインオンのシナリオにおけるディレクトリ同期 (英語)」を参照してください。
- Active Directory とのフェデレーションを行う Active Directory フェデレーション サービス
- 学術機関で広く使用されているディレクトリである Shibboleth
- Works with Office 365 - Identity プログラムで認定されたパートナーのソリューション
- Paul Andrew (@pndrw)