#はじめに
前回のブログでは Azure ADによるモバイルアプリの 証明書を用いたシングルサインオン(SSO)設定について記載しましたが、特に Azure AD のSSO 設定については触れませんでした。今回は SaaS アプリとの SSO 設定でほとんどの場合で使用するであろう Azure Active Directory (Azure AD) アプリギャラリーについて説明致します。
#Azure AD アプリギャラリーとは?
Azure AD アプリギャラリーは、シングル サインオン (SSO) と自動ユーザー プロビジョニングの展開と構成を簡単にするアプリのカタログです。アプリ ギャラリーからアプリをデプロイするときに、事前に構築されたテンプレートを活用して、ユーザーをより安全かつ簡単にアプリに接続することができます。
Azure AD アプリギャラリーへは Azure 管理コンソールから「Azure Active Directory」の「エンタープライズアプリケーション」から「新しいアプリケーション」へアクセスすると以下の設定画面が表示されます。
Azure AD アプリギャラリーには様々なアプリケーションが登録されています。以下はほんの一例です。海外のアプリだけではなく日本のアプリも登録されています。
Azure AD と SSOする SaaS アプリを設定するには、SSOするSaaS アプリを検索します。
下図のように検索フィールドに「楽楽精算」と入力すると Azure AD に登録済のアプリが表示されます。まずは対象のSSO アプリを検索してください。
※2021年11月15日時点でSAML SSOアプリの数は1195ありますので検索してみてください。
#Azure AD によるシングルサインオン(SSO)
下図は Azure AD と SaaS アプリとの SSO 実施時のイメージ図です。エンドユーザーは Azure AD で認証を行い、認証に成功すると Azure AD は SaaSアプリへのトークンを発行します。エンドユーザーはそのトークンを用いることで SaaS へのアクセスが可能になります。各 SaaS サービスは Azure AD が発行したトークンを信頼してアクセスを許可します。この SSO により SaaSアプリ側ではパスワードに関連した運用保守が不要になり、IT 運用者の負担をひとつ軽減することが可能です。さらに Azure AD の多要素認証や条件付きアクセスなどの高度な認証機能を使用してセキュリティを向上させることが可能です。
以下のMicrosoft のサイトでは Azure AD で統合可能な SaaS アプリが紹介されています。
また以下のサイトでは Azure AD と SaaS アプリとの SSO 設定の詳細手順が記載されています。ぜひご参照ください。
#自動ユーザープロビジョニング
Azure AD とSaaS アプリを統合する際に SSO と同様にとても有用な機能に自動ユーザープロビジョニングがあります。この自動ユーザープロビジョニングも Azure AD アプリギャラリーから簡易テンプレートを使用して簡単に設定することが可能です。
企業用 SaaS では多くの場合、SaaS を利用するユーザーを事前に SaaS 側へも登録することを求められます。SaaS へのユーザー登録の事をユーザープロビジョニングと呼びます。今までの SaaS へのユーザー追加方法としては下図のような方法がありました。
登録するユーザー情報を含んだ CSV ファイルを作成して SaaS へユーザー情報を同期したり、または、SaaS へ同期用のコネクトサーバーを構築してユーザー情報をオンプレの Active Directory から SaaS 側へ同期をしたりしていました。これらの方法だと連携する SaaS アプリが増えるに従い、ID管理も煩雑になり、コネクトサーバーの台数が増えるとIT管理者の運用負荷も増えます。
このようなユーザー情報連携の運用負荷を軽減する方法が Azure AD の自動ユーザープロビジョニングです。Azure AD の自動ユーザープロビジョニングを利用すると上図のように CSV 作成やコネクターサーバーを構築することなく Azure AD の管理コンソールで設定するだけで SaaS アプリに必要なユーザー情報を自動で Azure AD から SaaS アプリ側へ同期させることが可能です。連携する SaaS サービスが増加しても IT 管理者の運用負荷を最小化させることが可能です。
自動ユーザープロビジョニングの設定手順についても以下の Microsoft のサイトのユーザープロビジョニングのチュートリアルに記載されていますので、こちらも是非ともご参照ください。
Azure AD で使用する SaaS アプリの統合に関するチュートリアル | Microsoft Docs
#Azure AD エディションと認証認可機能
Azure AD には大きく3つのエディションがあり、利用可能な機能に違いがあります。
以下の表は一部の機能の抜粋です。詳細についてはこちらをご参照ください。
#Microsoft Office 365 付属のフリー版 Azure AD を利用時の注意点について
本記事でご紹介しました Azure ADギャラリーから SaaS アプリへのシングルサイン設定や、自動ユーザープロビジョニングの機能は、Microsoft Office 365 付属のフリー版の Azure AD でご利用可能です。しかしながら、フリー版のAzure ADではセキュリティグループを利用したユーザーの割り当てを使用することができません。 企業や組織にとっては、Azure ADのセキュリティグループを使った割り当てが必要になる場合の方が多いと思います。その場合は Azure AD Premium などの上位ライセンスの購入をご検討ください。
#まとめ
Azure AD アプリギャラリーを利用することで SaaS アプリへの SSO や自動ユーザー情報同期を簡単に設定することが可能です。Azure AD と SSO することで、多要素認証や条件付きアクセス(Azure AD Premium P1以上が必要)によりセキュリティを強化することが可能です。さらに SSO はユーザーが SaaS を利用するたびに求められる認証作業から解放することができます。その結果ユーザーの利用満足度が向上します。さらに加えて、自動ユーザープロビジョニングを利用することで IT 担当者の運用負荷も最小化することが可能です。このようなメリットが大きい機能を Azure AD アプリギャラリーから簡単に設定することが可能です。
現在、ADFS を利用している環境においても、Azure AD アプリギャラリーで SaaS アプリ を設定することが可能です。ただし、Azure AD (Office 365) が ADFS に対して認証のフェデレーションを構成している場合は、Azure AD アプリギャラリーで設定した SaaS アプリも ADFS へ認証がリダイレクトされる点に留意してください。
まずは Azure AD アプリギャラリーをご確認ください。
次回の記事では「DocuSign のモバイルアプリのシングルサインオン設定について」を掲載する予定です。
※2021年11月24日追記
ADFSからAzure ADへの認証移行については以下の記事が公開されましたので、こちらもぜひご参照ください。
サンプルアプリケーションを使って ADFS から Azure AD への認証移行ステップを確認する
投稿内容は私個人の意見であり、所属企業・部門とは関係ありません。また、いかなる保証を与えるものでもありません。