🔐
Azure AD Connectにおけるパススルー認証とシームレスSSOの設定方法
モチベ
- 設定方法の確認がしたい
- そもそもどこから設定するんだっけ
パススルー認証:PTA
-
Azure AD Connectを何も考えずに設定するとパスワードハッシュ同期という方式で設定される。これはオンプレAD側の認証情報のハッシュ値をAADに同期することで同じID・PassでAAD認証ができるというもの。認証の主体がAADになる。
-
一方でパススルー認証はAAD認証をオンプレAD側で行う方式になるため、AAD側に認証情報が保存されない。データをクラウドに保存できないなどコンプライアンスポリシーが厳しい場合などに用いられる。
シームレスSSO
- オンプレのアプリケーションにもクラウドのアプリケーションにも1度の認証でアクセスできるようにするための機能。
AAD Connectの構成
-
これらの構成状況はAzure ADのAzure AD Connectブレードから確認可能
-
構成の変更自体はADサーバ上にインストールしたAzure AD Connectアプリケーション上で行う
-
「Change user sign-in」から構成
-
デフォルトで「Password Hash Synchronization」になっている
-
「Pass-through authentication」に変更する
-
シングルサインオンの構成も併せて行う
- 「Domain Admins」グループに属するユーザ情報を求められる
-
構成内容の確認
-
終了したことを確認
-
念のため
Start-ADSyncSyncCycle
を実行する -
Azure Portal上でシームレスSSOやパススルー認証が有効化されていることを確認
おわり
こちらを参考にしました。AADConnectのアプリケーションでは同期周りのいろいろな設定が可能なので覚えておくといいかもです。
Discussion