ADと連携させ、SSO環境を構築する

2019年3月27日

従業員が増えてきたことにより、情シスへの問い合わせが多くなってきたのが、『パスワード忘れました』です。カウントしてみると200件/年ほど。

Active Directory(AD)は存在するが、これまで主要なSaaSなどは各ツールによってID/PWがバラバラだったので、さすがに覚えきれてない。

ということで、ADと連携させて、SSO(Single Sign On)環境を構築しました。

ADとOffice 365のID/PWを連携させる

社内で利用しているOffice製品は『Office 365』です。Office 365自体は一度アカウントを発行し、各PCにインストールされたOfficeソフトに登録したら、PCリプレースするまでPWの入力を行うことはありません。
なので、PCリプレース時にはかなりの頻度で『パスワード忘れました』が発生します。

幸いADで利用しているドメイン名はOffice365で利用するドメインと一致していたので、 UserPrincipalName(ユーザー名)を同期のキーとして利用しました。

同期するソフトウエアは『Azure AD Connect』です。
Azure AD Connect をADサーバーにインストールし、各種設定を行ったあとに同期を実行します。初回以外はおよそ30分間隔で同期を行うようですが、こちらの同期間隔は変更可能のようです(どうやるかは調べてない)

同期が終了すると、Office 365 管理センター へのログインもADのパスワード(PCログインに使うパスワード)に変更されてます。

これで一つのサービスが連携されました。

ADとGoogleのID/PWを連携させる

会社で利用しているメールやスケジュールなどはGoogle(G Suite)を利用してます。それに加え、当社ではアクセス元制限を行うためにサテライトオフィスSSOサービスも利用してます。

サテライトオフィスが提供するこのツールはIPアドレスによるアクセス元制限や端末制限などが行えたり、ユーザー毎のセキュリティポリシーの強弱を付けたりすることができます。

今回はADとこのサテライトオフィスのSSOサービスを連携させます。

同期するソフトウエアは『SSOSYNC』と『ADPWDSYNC』です。
『SSOSYNC』はADとSSOサービスを同期するツールです。 『ADPWDSYNC』 はADにてパスワード変更を行った際に、ADとSSOサービスのパスワードを同期するツールです。
『SSOSYNC』 は手動同期ですが、タスクに追加することで定期的な実行が可能となります。 『ADPWDSYNC』 はパスワード変更時にリアルタイムに同期が行われます。また初回利用時は全てのADユーザーのパスワードを更新する必要がありますので、ADユーザーの「次回ログイン時にパスワードの変更を行う」などを加える必要が出てきます。

『SSOSYNC』 はサテライトオフィスのSSOサービスと同期をしますが、直接G Suiteと連携を行うことも可能らしいです。こちらの機能は触ってないので詳しいことはわかりません。

さて、 『SSOSYNC』 の同期ですが、ADとG Suiteで利用しているドメインが異なります。この場合、電子メールアドレスをキーとして、双方の情報をマッチさせます。よってADアカウントにはG Suiteで利用している電子メールアドレスを登録しておく必要があります。
ちなみに 『ADPWDSYNC』 は全てのADサーバーに設置する必要があります。当初Azure AD Connectをインストールしたサーバーのみにインストールしたのですが、ユーザーによってはパスワードが同期取れてない事象が出たので調べたらユーザー毎に認証しているADサーバーが違うことに気づきました。1台に入れておけばOKだと思いましたが、そうではなかったです。

構成

基本的に社内の基幹サーバーはデーターセンターに設置しているので、今回同期対象とするADサーバーもデータセンターに設置してあります。
簡単な構成は以下のとおり。

G Suiteと連携したことにより、Googleアカウントを利用したサービスなども同一のパスワードで行えるようになりました。

これでADユーザーのパスワードを変更したタイミングで各種サービスへ自動的に同期され、『パスワード忘れました』が減少すると思われます。

「ADユーザーのパスワードを忘れたら?」その際はPCにログイン出来ないし、連携した他のサービスも利用出来なくなります(笑)

各種サービスと連携することが可能になったのでユーザー追加・削除もAD上で行えるようになりました。各種サービスへの権限付与とかライセンス割り当てとかは別の話となります。

今回の事を踏まえ、基幹サーバーはAzure上に移行することになりそうです。そろそろオンプレ卒業。また、AzureからAWSへのVPNもIKEv2が出来るようになったので、AWSのアカウント管理も出来るようになるはず。それにはAzure ADをPremium P1とかに変更した方が良いかも。