ディレクトリ同期なしでローカル AD と Azure AD を使用した ADFS セットアップ

tag-icon tag-icon active-directory adfs
ディレクトリ同期なしでローカル AD と Azure AD を使用した ADFS セットアップ

ローカル AD と Azure 上の AD があり、ローカル AD でユーザーを認証するために ADFS と ADFS プロキシ サーバーをセットアップしています。Azure AD とローカル AD 間の信頼関係をセットアップするために、Microsoft サイトのすべての手順を実行しました。ただし、ローカル AD とクラウド AD​​ のユーザーの SSO を実現するには Dir Sync が必要であると書かれています。Dir Sync は使用せず、ADFS でローカル AD と Azure AD のユーザーも認証できるようにしたいと考えています。

それを実現するための手順を誰か教えてもらえますか。

答え1

O365またはIntuneの場合、DirSyncは必須コンポーネントです。DirSyncを使用すると、同じサインオンは両方の環境で同じパスワードを使用することを意味します。ADFSを追加すると、シングルサインオンは、ユーザーが資格情報の入力を求められることなくシームレスに認証することを意味します。DirSync は、同一サインオンとシングル サインオンの両方の基本コンポーネントです。

ADFS だけでは Azure AD テナントへのシングル サインオンは実行できません。

答え2

私も同じ質問をして、マウィーラス正しい方向に導いてくれました。少し調べて、うまくいきました。これが私にとってうまくいった方法です。

これは「サポートされている」ソリューションかどうかはわかりません。なぜなら、彼らはDirSyncを本当に気に入っているようです。しかし、それがサポートされている理由は理にかなっています。マウィーラス前述のとおり、Active Directory 以外のインフラストラクチャでも Office 365 への SSO を許可できます。

必要なことは次のとおりです:

  • Convert-MsolDomainToFederated PowerShell アプレットを実行して、Office 365 側でドメインの SSO を有効にします。おそらく、すでに実行済みでしょう。

  • Office 365 側で SSO を有効にするユーザー アカウントを手動または PowerShell で作成します。

  • 作成したら、ObjectGUIDをあなたのAD アカウントのオブジェクトを Azure 側の不変 ID として使用します。

    これらを参考にしましたが、将来これらの URL が消えてしまった場合に備えて情報を記載しておきます:

    http://blogs.technet.com/b/stevenha/archive/2012/11/13/script-to-convert-an-ms-online-directory-immutable-id-to-an-ad-guid-and-vice-versa.aspx

    http://answers.flyppdevportal.com/categories/azure/WindowsAzureAD.aspx?ID=2b72a210-6a6e-4add-a420-f3fd81c68532

  • ユーザーの ObjectGUID を base64 でエンコードして設定する必要があります。エンコードする GUID には括弧を含めないでください。

    以下のスクリプトが変換を実行します: http://gallery.technet.microsoft.com/office/Covert-DirSyncMS-Online-5f3563b1

    AD オブジェクト GUID (「レジストリ形式」) 748b2d72-706b-42f8-8b25-82fd8733860f

    エンコード: ci2LdGtw+EKLJYL9hzOGDw==

    PowerShell 経由で Azure のアカウントに設定します。

    Set-MsolUser -UserPrincipalName[メールアドレス]-不変ID "ci2LdGtw+EKLJYL9hzOGDw=="

  • ユーザーアカウントのUPN(ADドメイン側)が[メールアドレス]Office 365 側にある UPN を入力しないと、Azure 側で奇妙なエラーが発生します。エラー コードは 8004786C だと思います。

  • AD 環境でユーザーに設定できる UPN サフィックスがない場合は、「Active Directory ドメインと信頼関係」を使用してサフィックスを追加する必要があります。または、賢くしたい場合は、AD アカウントに別の属性を設定し、ADFS がその属性を変更不可能な ID として送信するようにします。意味がわからない場合は、UPN を設定してください。 :)

  • Microsoft Office 365 は、サーバー上の ADFS IDP 開始ドロップダウン メニューのオプションとして表示されません。SP 開始のようですので、まずそのポータルにアクセスして SAML ダンスをトリガーする必要があります。https://portal.microsoftonline.com

  • Fiddlerのようなものを使ってSSL会話を取得し、いくつかの情報を解析することができます。http://community.office365.com/en-us/wikis/sso/using-smart-links-or-idp-initiated-authentication-with-office-365.aspxIDP によって開始される感覚をより高めるため、ユーザーはリンクをクリックして、何も入力せずに Office 365 へのスムーズなログインまで誘導されます。

答え3

これは少しでも役に立ちますか?http://technet.microsoft.com/en-us/library/dn296436.aspx

あなたが求めていることを私が実行してからしばらく経ちましたが、それは私のメモにありました。

関連情報