次のような設定をしている顧客がいます。
Azure AD Connect とパスワード ハッシュ同期 (PHS) を備えたオンプレミス Active Directory (SSO アクティベーションを含む)
すべての M365 アプリの SSO
ブラウザで SSO を使用するために Azure との信頼関係を確立した約 15 種類の外部クラウド アプリの統合
現在、顧客は、今後すべてのアプリでオンプレミス MFA ソリューションを使用するために、ADFS 認証に移行したいと考えています。Azure AD Connect の「ユーザー サインイン」方法を PHS を含む SSO から「ADFS とのフェデレーション」に変更するとどうなるでしょうか。次の投稿を見つけました。認証に ADFS と Azure AD を混在させる - Microsoft Q&Aここで、ユーザー「amanpreetsingh-msft」は通信フローを説明しています。ただし、設定が少し異なるため、この通信フローが当社にも適用されるかどうかはわかりません。SSO は自動的に機能しますか? また、2 つの異なる SSO アプローチ、「PRT SSO」と「シームレス SSO」に関して、何を考慮する必要がありますか。現在、お客様がどのタイプの SSO を使用しているかはわかりません。
また、次のような通信フローも見つかりました。SSO2 しかし、これは私たちのセットアップを完全に網羅しているわけではありません。Azure AD に Kerberos チケットを転送しないからです。私たちの構成には、SAML、受信クレームと送信クレーム、Azure とサービス プロバイダー (ADFS と直接ではなく) 間の信頼、「PRT SSO」または「シームレス SSO」テクノロジ内の何らかの SSO トークンが含まれます。私たちの場合、通信フローはどのようになるでしょうか?
それとも、アプリケーションと Azure 間の信頼を Azure から ADFS に 1 つずつ「移行」する方がよい方法でしょうか?
ご協力いただきありがとうございます!
答え1
アプリケーションによって異なりますが、最も可能性の高いシナリオは、すべてのアプリを Azure AD 信頼ではなく ADFS 信頼を使用するように構成する必要があることです。
その可能一部のアプリケーションでは、Azure AD 信頼をそのまま使用し、Azure AD が ADFS によるフェデレーション認証を処理することもできますが、これによりログイン プロセスが大幅に複雑になり、管理とトラブルシューティングが難しくなります。また、ADFS を追加すると、潜在的な障害点が追加されることになります。つまり、「ADFS が機能しないと、どこにもログオンできなくなります」ということになります (そのため、ADFS は通常、少なくとも 2 台のサーバー ファームで実装されます)。
補足: 「Microsoft AD Connect でドメインを「ADFS 認証」に移行する」のではなく、実際の ADFS ファーム (外部に公開するためのリバース プロキシを含む) をセットアップしてから、Azure AD でフェデレーション認証用にドメインを構成する必要があります。
シナリオの詳細はわかりませんが、特に ADFS の経験があまりない場合 (悪気はありませんが、経験がないようです)、これはかなり複雑に思えます。お客様がこれらすべてを実行する理由が、単に独自の MFA ソリューションを使用するためである場合は、Microsoft の MFA を有効にするか、Azure AD と統合できるさまざまなクラウド MFA ソリューションのいずれかに切り替えることを強くお勧めします。