■はじめのご挨拶
お久しぶりの更新になりました。
djangoもAWSもものの見事に失敗に終わったわけなのですが、、
性懲りもなく、またアップしていこうというわけです
今度はお仕事でMS WindowsAzureを触ることとなりましたため、
組織のためではなく、自分を楽にしていこうという観点で
仕事中にこうやって手順メモをアウトソーシングしていくことにしました。
しかし、それは単に自分本位な考え方ではなく、自分も改善できないやつは
組織を改善するなんてこともできないだろうという観点に立っての行動なわけです。
■目的
O365を利用する際の認証をADFSを利用し、多要素認証で処理をさせつつ、
シングルサインオン構成とする場合
2017/10/27日 追記
結果的に設定してみて分かったことですが§1の手順は丸ごと必要ないと思われます。
§2に記載されているO365の手順を実施するのみでMFAは有効化できると思いますので
この記事を参考にされる方がいらっしゃるのであれば§2の手順のみを実施してください。
§1 ADFSの設定追加手順
■手順1 ADFSに設定追加 (多要素認証成功時の処理設定)
1.ADFS管理画面を開き、左側のメニュー表示から[AD FS]->[信頼関係]->[証明書利用者信頼]を選択する
2.表示された一覧上から[Microsoft Office 365 Identify Platform]を右クリックして[要求規則の編集]を選択する
3.[規則の追加]を選択する
4.プルダウンメニューから[入力方向の要求をパススルーまたはフィルター処理]を選択して[次へ]を押下
5.以下の情報を入力・選択し、[完了]ボタンを押下する
①要求規則名欄
任意の規則名を設定
(ここではMulti-Element AuthMethodと設定)
②入力方向の要求の種類
プルダウンメニュー内から[認証方法の参照]を選択
③処理の選択
[すべての要求値をパススルー]を選択
6.追加されたことを確認して[OK]ボタンを押下
※ここまでの手順でユーザーが多要素認証に成功したときにADFSからAzureADに認証情報が渡される準備ができました
■手順2 信頼できるIPの設定
指定したIPアドレスのみ多要素認証をパスできるようにする設定を実装できます。
大きな流れでいうと以下の2点です。
◆2-1 ADFSで設定すること
①認証に成功した場合の処理を定義
②処理対象ユーザ(設定を適用するユーザのスコープ)を定義
◆2-2 O365テナントで設定すること
・IPアドレスを指定して多要素認証をスキップする処理を適用する
■手順2-1 ADFSで設定すること
①社内ネットワークからのアクセスに対する処理を定義
1.ADFS管理画面を開き、左側のメニュー表示から[AD FS]->[信頼関係]->[証明書利用者信頼]を選択する
2.表示された一覧上から[Microsoft Office 365 Identify Platform]を右クリックして[要求規則の編集]を選択する
3.[規則の追加]を選択する
4.プルダウンメニューから[入力方向の要求をパススルーまたはフィルター処理]を選択して[次へ]を押下
※1~4の手順の画像は割愛
5.以下の情報を入力・選択し、[完了]ボタンを押下する
5-1.要求規則名欄
任意の規則名を設定
(ここではInside Corporate Networkと設定)
5-2.入力方向の要求の種類
プルダウンメニュー内から[会社ネットワーク内]を選択
5-3.処理の選択
[すべての要求値をパススルー]を選択
※画面は編集画面のものを使用
②O365からのアクセスをカスタムルールを適用して要求処理する
O365はユーザーの認証情報(トークン)をSAML形式で発行されたデータで認証処理を行っている
上記①の設定とこの②の手順で行った設定を組み合わせることによって、
指定された社内のIPアドレスを所有するユーザーからのSAML形式認証トークンに対しては処理をパスするという意味になる
1.ADFS管理画面を開き、左側のメニュー表示から[AD FS]->[信頼関係]->[証明書利用者信頼]を選択する
2.表示された一覧上から[Microsoft Office 365 Identify Platform]を右クリックして[要求規則の編集]を選択する
3.[規則の追加]を選択する
※1~3の手順の画像は割愛
4.プルダウンメニューから[カスタム規則を使用して要求を送信]を選択して[次へ]を押下
5.表示された画面内の[要求規則名]に任意の規則名(※ここではKeep Users Signed Inと入力)し、
[カスタム規則]に以下の内容を入力し、[OK]ボタンを押下する
c:[Type == "http://schemas.microsoft.com/2014/03/psso"]
=> issue(claim = c)
§2 O365の設定追加手順
本手順を実施する前の注意点としてAzureのサブスクリプション登録が必要となるので注意!!
この記事を掲載した2017年10月24日時点では12ヶ月の利用無料キャンペーン期間が存在しないため、
お金を請求されることはなかったがクレジットカード情報の登録は必要。
§2-1 MFA認証プロバイダーの追加手順
O365上でMFA機能を有効にするための第一歩として連携先のAzureADにMFA認証プロバイダーのモジュールを追加する必要がある。
1.Azureクラシックポータルにサインインする
※クラシックポータル画面からしかMFA機能を有効化できないので注意が必要
2.ログイン後に左側メニューから[ACTIVE DIRECTORY]を選択する
3.画面上部のメニュー上に表示されている[多要素認証プロバイダー]をクリックする
4.[新しい Multi-Factor Authentication プロバイダーの作成]をクリックする
5.以下の通り、各項目を設定し[作成]をクリックする
[名前] : MFAに任意の名前を登録する
[使用モデル] :
※下記は公式ページの作成手順より抜粋
【参考ページ】https://docs.microsoft.com/ja-jp/azure/multi-factor-authentication/multi-factor-authentication-get-started-auth-provider
•認証ごと – 認証ごとに課金される購入モデル。 通常、コンシューマー向けのアプリケーションで Azure Multi-factor Authentication を使用するシナリオで使用されます。
•有効ユーザーごと – 有効ユーザーごとに課金される購入モデル。 通常、Office 365 などのアプリケーションにアクセスに従業員向けに使用されます。 Azure MFA のライセンスを既に許諾されているユーザーがいる場合には、このオプションを選択します。
[ディレクトリ] :
※下記は公式ページの作成手順より抜粋
【参考ページ】https://docs.microsoft.com/ja-jp/azure/multi-factor-authentication/multi-factor-authentication-get-started-auth-provider
•Multi-Factor Auth Provider の作成に、Azure AD ディレクトリは必要ありません。 Azure Multi-Factor Authentication Server または SDK をダウンロードするだけであれば、空欄にしておいてください。
•高度な機能を利用するためには、Azure AD ディレクトリに Multi-Factor Auth プロバイダーを関連付ける必要があります。
•1つの Azure AD ディレクトリに関連付けることができるのは 1 つの Multi-Factor Auth プロバイダーのみです。
6.作成が完了すると以下のように一覧にMFAが表示される
§2-2 O365側でのMFA 追加手順
認証プロバイダーを追加した後はO365上で各ユーザーごとにMFAの設定を追加する必要がある。
※ただし、追加した認証プロバイダーの種類によってここの作業工程は内容が変わる。
具多的には前項の手順にて[使用するモデル]の設定項目に対して[有効化されたユーザーごと]を設定した場合に本手順が必要になる
1.O365の管理者アカウントにてテナントにログインする
2.メニューから[管理]を選択する
3.左のメニュー画面から[ユーザー]->[アクティブなユーザー]を選択する
4.画面上部の[その他]プルダウンメニューから[Azure Multi-Factor Authentication]を選択する
5.多要素認証設定画面が表示されるので機能を有効化したいユーザーのチェックボックスにチェックを入れる
6.チェックを入れると画面右側に[有効にする]という項目が表示されるのでそれをクリックする
7.下記の画面が表示されるので[multi-factor authを有効にする]をクリックする
8.下記の画面が表示されるので[閉じる]をクリックする
★ちなみに…
この時点でuser01というアカウントは多要素認証が有効になっています。
試しにO365にログインしてみると下記のような形でログインできなくなりました。
ただし、多要素認証設定のデフォルトにより、ユーザー側で任意のパスワードを決める設定となっている。
ユーザー側で設定したパスワードがO365のログインとはまた別にアプリケーションを使用する際の多要素認証用パスワードとして使用される。
ここから先の画面に行くとパスワードを送信方法を確認する画面に遷移します。
§2-3 MFA アプリパスワードの設定を変更する
※ユーザー側で任意のパスワードを設定させない場合は下記の手順を実施
(書いた後で分かったことのですがこの設定を変更してもしなくても処理結果に変わりはありませんでした)
1.多要素認証の設定画面上部に表示されている[サービス設定]をクリックする
2.あえてここはデフォルトの設定ではない、[ブラウザーではないアプリケーションへのサインイン用にアプリケーション パスワードの作成を許可しない]にチェックを入れる
3.[保存]をクリックすると[更新が正常に完了しました]と表示されるので[閉じる]をクリックする
4.試しにテストアカウントでログインしてみて挙動を確認してみる
以上