皆さん、こんにちは。田中です。
Azure 技術者 Blog への投稿は初めてとなりますが、多くの方に読んでいただけるように頑張っていきたいと思いますので、よろしくお願いします。
少しだけ自己紹介をさせていただきます。
オンプレミスでは Lync/Skype for Business をメインに触ってきて、Office 365 では Exchange Online、Skype for Business をメインに活動してきました。ここ最近は EMS (Intune、Azure AD Premium)に関わる仕事をしています。
そのため、Office 365/EMS に関わる内容を、本ブログを通じて提供していきたいと考えております。今回は、Azure AD Premium の機能の一部である ”Azure AD Application Proxy(以下、App Proxy)” の構築をご紹介します。
App Proxy を利用することで、既存のオンプレミスシステムをセキュアに公開することが可能になります。また、Windows 統合認証が有効であれば、ドメインによるシングルサインオン(以下、SSO)を利用してユーザーがシームレスに利用することができます。
メリットを上げると多々ありますが、その中で特に優れている点は以下の点です。
では構築に入ってみましょう!
まず構築を実施する前に前提条件を確認します。クラウドサービスは日々変わることを考慮して、必ず Docs などで正しい情報をキャッチアップするように心がけましょう。
まずは、App Proxy コネクタをインストールするためのモジュールを Azure Portal からダウンロードする必要があります。
Azure Portal に管理者アカウントでサインインして、[Azure Active Directory] ? [アプリケーションプロキシ]を選択します。[アプリケーションプロキシ]の画面遷移後に、[コネクタサービスのダウンロード]をクリックします。
画面遷移後に、[規約に同意してダウンロード]をクリックすると、[AADApplicationProxyConnectorInstaller.exe]がダウンロードできます。
前項「1」でダウンロードしたモジュールを、App Proxy コネクタをインストールするサーバー上で、実行します。
[AADApplicationProxyConnectorInstaller.exe]を実行すると、インストール画面が表示されるので、[I agree to the license terms and conditions]にチェックを入れて、[Install]をクリックします。
実行が進むとアカウントにサインイン画面が表示されるので、インストールする管理者アカウントを入力します。
※ ここで入力するアカウントは、Azure AD の全体管理者アカウントになります。
セットアップの完了画面が表示されたら[Close]をクリックします。
前項「2」のインストールが完了後の確認方法については、以下で確認することができます。
▼Azure Portal 上での確認方法
[Azure Active Directory] ? [アプリケーションプロキシ]を選択すると確認できます。
▼App Proxy 上でのサービス確認方法
[services.msc]を起動して、画像の2つのサービスが起動されていること
2つのサービスの役割は以下の通りとなっています。
項番「3」で、App Proxy コネクタとしてのインストールは完了しています。どの Web サーバーをどのように設定してユーザーへ公開させるのかは、Azure Portal 上で設定を行います。
[Azure Active Directory] ? [エンタープライズアプリケーション]を選択して、[新しいアプリケーション]をクリックします。
[アプリケーション追加]画面に遷移後、[オンプレミスのアプリケーション]をクリックします。
リダイレクトの設定画面に遷移されますので、設定後に[追加]をクリックします。
今回は、以下の様に構成します。
アプリケーションの割り当てを行うことで、ユーザーのアクセスパネル上に表示させることが可能です。そのため、ユーザーは Web サーバーに接続するための URL を覚えていなくてもアクセスパネルを利用することで簡単に接続が可能です。
プロキシの設定を実施後に画面遷移されますので、[ユーザーとグループ]をクリックします。
[ユーザーの追加]を選択して、割り当てるユーザー、またはグループを追加します。
※ 今回は、ユーザーにのみ割り当てを行います。
ここまで実施すると、後はアクセスするのみです!
Web ブラウザーを起動して、[https://myapps.microsoft.com]にアクセスして、ユーザー認証を済ませて、今回作成したオンプレミスアプリをクリックしてみます。
無事に接続することができました!
App Proxy コネクタが障害発生した場合は、Azure Portal 上で確認すると「アクティブ」から「非アクティブ」に変わっていることがわかります。この状態が10日間続くと App Proxy コネクタとしては機能しなくなってしまい再度インストールが必要になります。
※ Azure Portal 上から10日間以上非アクティブになった App Proxy コネクタは表示から削除されます。
いかがでしたでしょうか。それほど難しい設定はなく、比較的簡単に構築ができたのではないかと思います。
今回の構成は認証方式としてパススルー認証を採用しました。次回は「Azure Active Directory 認証」と条件付きアクセスの組み合わせで認証制御の実装を記事にしたいと思います。
最後まで読んでいただきありがとうございました!
関連ページ
Microsoft Azure 導入・運用支援サービス 詳細 |