Office 365 には、セキュリティ性と利便性の両方を向上できるシングルサインオンの導入が進んでいます。クラウドサービスである Office 365 でシングルサインオンを実現するには、オンプレミス AD とは別の認証が必要です。
この記事では、Office 365 でシングルサインオンを構築する方法とその選び方を解説します。情報システム担当の方など、Office 365 でシングルサインオンを構築しようと考えている方は、ぜひ参考にしてみてください。
Office 365 の認証方式は?
マイクロソフトが提供するクラウドサービスの Office 365 を利用する時、「認証」というプロセスが必要となります。認証とは、ユーザー ID とパスワードを入力して本人であることを確認するプロセスのことです。
認証サービスには、クラウド上のサービスを利用する際の認証基盤である「Azure Active Directory」(Azure AD) と、社内のオンプレミスのアプリケーションにアクセスする「Active Directory」 (オンプレミス AD) があります。しかし、Office 365 はクラウドサービスのため、Azure AD でのサインインが必要です。
シングルサインオンを実現すれば、1回の認証で、オンプレミスのシステムも、クラウドサービスの Office 365 も利用可能になります。ここでは Azure AD と オンプレミス AD のそれぞれの認証基盤の違いを解説していきます。
Azure AD とは
Azure AD とは、Office 365 や Microsoft Azure など、マイクロソフトが提供しているクラウド上のサービスを利用する際、認証情報や認証手続きを集約する機能を持つ認証基盤です。
Azure AD はマイクロソフトのソリューションですが、 オンプレミス AD と接続することによって、自社内のシステムで運営されるオンプレミスのアプリケーションと、インターネットを経由して利用できるクラウドサービスの両方でシングルサインオンを実現することができます。
Azure AD とオンプレミス AD は、同じ「AD」と名が付いているため似ているように見えますが、この二つは別物です。しかし2つとも、ID・パスワードの管理や、シングルサインオンを可能にする機能を持ち、企業では広く利用されています。
オンプレミス AD とは
オンプレミス AD とは、社内のアプリケーションを利用する際、認証情報と手続きを一つに集約する機能を持つ認証基盤です。Azure AD と オンプレミス AD は、名前は似ていますが、使用目的や対応するプロトコルなどが異なります。
例えば、オンプレミス AD は自社のアプリケーションを利用する時に必要になりますが、Azure AD はクラウドサービスを利用する時の認証サービスです。オンプレミス AD では、Kerberos プロトコルで認証を行いますが、Azure AD では、複数のプロトコルに対応しています。
両者の違いはありますが、シングルサインオンなど同様の機能を実現する認証サービスです。
Office 365 でシングルサインオンが導入される理由
クラウドサービスは、インターネットを使用できれば、時間や場所を問わずいつでも利用できることがメリットです。一方で、セキュリティが管理されていない不特定多数の場所からアクセスをすると、情報漏えいの危険性もあります。
そこで、 シングルサインオンのサービスを使うことで、Office 365 へのアクセスは、社内での限られた場所や機器からしかできないよう設定するなどのアクセスコントロール機能が利用でき、閉じられた社内ネットワークのアプリケーションを使うオンプレミスの時と同様に、セキュリティを高めることができます。
シングルサインオンを導入すれば、同じユーザー ID とパスワードで、Office 365 以外にも複数のクラウドサービスにログインできるため、いちいち認証をする手間が省け、業務の生産性も上がるでしょう。セキュリティ面と、利便性の両方を向上させることができるので、Office 365 でのシングルサインオンの導入が進んでいます。
シングルサインオンの3つの実現方法は?
Office 365 でシングルサインオンを実現する3つの方法を解説していきます。
1.Azure AD による方法
クラウドサービスを利用する際の認証基盤である Azure AD は、 オンプレミス AD とは別物です。 オンプレミス AD だけでは、社内ネットワークでのシングルサインオンには対応できても Office 365 や他のクラウドサービスでのシングルサインオンを実現できません。
そこで、Azure AD があれば、クラウドサービスのユーザー ID とパスワードを一元管理ができます。そのために、認証基盤統合ツールである、Azure AD Connect と呼ばれるツールをダウンロードして使うことで、Azure AD とオンプレミス AD を接続し、認証基盤とシステム環境をクラウド上で一括にすることがきます。
Azure AD を用いるのは、費用を抑えてクラウド上でシングルサインオンを実現できる方法です。
2.ADFS 方式を用いる方法
Active Directory Federation Services(ADFS)を用いて、シングルサインオンを実現する方法としては、すでにあるオンプレミス AD に、ADFS サーバーを立てて Office 365 に接続する方法があります。
自社にオンプレミス AD があることが前提となり、オンプレミス AD で認証されたユーザーは、ADFS サーバーを介して Office 365 にログインできます。
オンプレミス AD は、ユーザー ID やパスワードだけでなく、接続元 IP アドレスやデバイスなど複数の要素を組み合わせて本人確認ができるため、厳格なセキュリティーポリシーを持つ企業は、オンプレミス AD を主体として運用する、ADFS によるシングルサインオンが適しています。
ADFS でシングルサインオンを導入するには、多くのサーバーを構築する必要があり、さらに運用と管理で維持する必要があります。したがって、多額のコストがかかり、情報システム担当者などの人的負担が大きくなります。
一方、ADFS を構築することで作業効率を上げ、セキュリティのレベルも強くすることができます。IT スキルが高く、比較的大規模な企業が自社でサーバーを構築して運用していけるのならば ADFS が適していると言えるでしょう。
3.IDaaS を用いる方法
他社の提供する「Identity as a Service」(IDaaS)という、ID 管理をクラウド上で一元的に行うサービスがあります。この IDaaS を使えば、Office 365 などのクラウドサービスのみでも、クラウドサービスとオンプレミスの両方の環境でも、シングルサインオンを実現できます。
提供する企業によって IDaaS のサービス内容は異なるので、事前に対応端末や、サービスのチェックをしましょう。Office 365 以外のクラウドサービスでも利用を考えているなら、そのクラウドサービスにも対応するかを確認した上で、どの IDaaS を利用するか決め、申し込みを行います。
IDaaS を用いるのに向いているのは、あえてオンプレミス AD とクラウドを連携させたくない場合や、Windows 環境でない場合、オンプレミス AD を利用していない場合などです。IDaaS なら、現在のオンプレミス AD をそのまま継続して使えること、月額契約で価格がリーズナブルなものも選べるなどの特長があります。
シングルサインオンの4つの検討ポイント
シングルサインオンの製品を選ぶときの4つの検討ポイントを解説します。
1.オンプレミスかクラウドか対象を決める
シングルサインオンは、製品によってサービスの範囲が異なります。オンプレミスのみ、クラウドサービスのみ、オンプレミスとクラウドの両方を対象とするものがあるのでシングルサインオンを実現したいなら、その対象範囲を決めて選ぶことが大切です。
オンプレミスでシングルサインオンがすでに構築できているなら、オンプレミスとクラウドで連携が取れるかどうかもポイントになります。また、Office 365 以外のクラウドサービスを利用しているならば、それにも対応しているかどうかも確認しましょう。
2.セキュリティ対策に有効かチェック
シングルサインオンは、一つのユーザー ID とパスワードで、複数のサービスにログインができるため便利な反面、複数のサービスから多くの機密情報が漏えいしてしまうリスクもあります。
アクセス制御など、セキュリティリスクを軽減する機能を確認してシングルサインオンを選ぶことが大切です。クラウド上でのセキュリティ対策も組み込まれていると、さらに良いでしょう。
3.導入がしやすいかチェック
シングルサインオンの導入と運用には少なからず手間がかかります。しかし、手間がかかりすぎる製品を選べば、費用が安いものであっても、時間や人員のコストの方が多くかかる可能性もあります。できるだけ導入や運用がシンプルなものを選びましょう。
スムーズに運用をするには、現在使用している社内のシステムと整合性が取れていることも大切です。将来導入しようと考えているシステムがあれば、それとの連携も合わせて考慮すると良いでしょう。
4.サポートをチェック
シングルサインオンは、システムが一度停止してしまうと、全てのサービスが利用できなくなります。システムが停止しても、迅速にきちんとサポートをしてもらえるかどうかがとても重要です。
また、サポートの責任を負ってくれる範囲がどこまでか、サポートはいつでも頼ることができるのか、対応言語は英語だけでなく、日本語も可能なのかといったことを確認しておきましょう。シングルサインオンの導入段階でのアセスメント、セットアップでのサポートなどもしてくれるものであれば、なお心強いです。
まとめ
Office 365 の認証でセキュリティ性が高められたシングルサイオン。クラウドサービスである Office 365 でシングルサインオンを実現して安心安全に使えるようにするには、Azure AD、ADFS、IDaaS を用いる方法があります。またシングルサインオン製品には様々な種類があるので、自社にあったものを選ぶようにしましょう。
SBテクノロジーのアクセス制御ソリューション「Online Service Gate」は、シングルサインオンやデバイス ID を用いた端末固有の識別 ID でアクセスを制御するなどアクセス管理が柔軟に行えるソリューションです。さまざまなクラウドサービスをセキュアに便利に利用できるでしょう。
ぜひ資料をご請求ください。
