はじめに
前回は、事前準備という事で下記作業 1, 2 の構築手順について記述しました。今回は本命となる Azure AD Application Proxy の構築に入っていきます。
作業の流れ
- Azure AD カスタムドメインの登録
- Azure AD Connect によるオンプレミスADとの同期
- Azure AD Application Proxy の構築
システム構成
上記3項目で構築する最小構成が下記イメージとなります。ここでの Azure 仮想ネットワークは、オンプレミスネットワークと読み替える事も可能です。
3.Azure AD Application Proxy の構築
概要
ここでは Azure AD にて認証されたユーザーを Kerberos 変換し、オンプレミス環境の WEB サーバー(Windows 統合認証)へ SSO アクセスするための Azure AD Application Proxy を構成します。
詳細手順
-
Application Proxy は、Azure AD Basic or Premium のライセンスが必要です。ここでは 30 日間の無償評価をアクティブ化して検証します。
-
正常にアクティブ化されるとアプリケーションプロキシにて次の画面が得られます。コネクタのダウンロードより、コネクタをオンプレミスのプロキシサーバー (Application Proxy Connector) にインストールします。オンプレミスのプロキシサーバー上で直接ポータルを開いてダウンロードするか、間接的にモジュールをコピーしてインストールします。
2-1. オンプレミスのプロキシサーバー上で、ライセンス条項に同意してインストールします。
2-2. Azure AD 全体管理者を指定します。
2-3. インストールが成功すると次の画面が表示されます。
2-4. Azure ポータルでもコネクタのアクティブ化が確認できます。
-
アプリケーション プロキシを使用してアプリケーションを発行します。
-
内部 URL は仮想ネットワークの IIS マシンのイントラネット URL を設定します。外部 URL は SSL 証明書がないため、ここではカスタムドメインでなく、既定の msappproxy.net を利用します。(SSL 証明書の設定とカスタムドメインの利用については巻末補足を参照)
-
続いてクイックスタートより、テスト用ユーザーの割り当てと、シングルサインを構成します。テスト用ユーザーの割り当ては簡易なので手順は省略しますが、織田 信長を割り当てています。
-
下記参考資料(必読)に従って、オンプレミスのドメインコントローラにて、Application Proxy サーバーの Delegation プロパティで SPN を登録します。ここでは IIS WEB サーバーの FQDN を指定しています。
参考資料:アプリケーション プロキシを使用してアプリにシングル サインオンを提供
https://docs.microsoft.com/ja-jp/azure/active-directory/active-directory-application-proxy-sso-using-kcd -
同様に Azure ポータルのシングルサイン設定にて SPN に上記オンプレミスの SPN を指定します。この時、URL ではなく http/SPN となっている点に注意ください。
動作検証
以上で設定は完了です。ブラウザにて https://myapp-samlfed.msappproxy.net/ へアクセスすると、Azure AD により提供されるログインページにリダイレクトされます。
-
ログインページへ織田 信長 nobunaga@aida-factory.com にてログインします。
-
ログインに成功するとオンプレミスの IIS サーバーからページ応答が返ってきます。
※ 上記では検証用に認証されたユーザー名を返す ASP ページ(下記サンプル)の応答を返しています。
<%
Dim strUser
strUser = Request.ServerVariables("LOGON_USER")
Response.Write "User Name : " + strUser
%>
補足
Azure AD Application Proxy のホスト URL にカスタムドメインを利用する場合には、下記設定の最後にある項目から行います。これには CNAME 登録及び該当ドメインの SSL 証明書のアップロードが必要となってきます。
