Azure Active Directory パススルー認証によるユーザー サインイン環境の構築 ⑤ クライアント端末からシングルサインオン実施
今までの記事で作成したWindows10環境でSSOを実施してみる
今までの記事で、Azure上の仮想マシンとしてWindows10Pro 1809を構築し、日本語化した後、Office365 ProPlusをカスタムインストールし、同じセグメントにあるAD参加をしました。AADの設定、ADの設定では代替IDを使用した設定としました。
今回はこのAD,AAD環境でE3ライセンスが付与されたtarou君を使いシングルサインオンの挙動を見ていきます。
Teamsアプリ
まず起動時に表示される画面です。ADにログインした時のIDであるtarou@xxxx.localがデフォルトで表示されています。@xxxx.co.jpに変更し続行してみます。
「はい」を選択します。
Teamsのチーム画面です。以前Office365グループを作成制限したため、tarou君の画面ではチームの参加のみ可能でした。
Outlookアプリ
Outlookアプリの初期起動時には、@co.jpが表示されていました。
ただ、次の画面ではオンラインの認証画面となり、こちらには@xxxx.localが表示されていました。@xxxx.co.jpに変更し先に進めます。
無事設定が完了しました。
Outlook画面を見てみると、左メニューが英語でした。これは、Outlookを一度も起動したことがないため、Timezoneが未設定によるものです。ブラウザ版からログインすることで、Timezoneが聞かれ無事日本語になりました。
Excel,Word,PowerPoint
こちらは既にサインインされている状態でした。
ブラウザ(Edge)
URL欄にoffice.comと入力しただけで、サインイン後の画面が表示されました。シングルサインオンが実行された実感があります。
ブラウザ(IE11)
URL欄にoffice.comと入力しただけで、サインイン後の画面が表示されました。こちらもシングルサインオンが実行された実感があります。
再起動後の挙動
OSを再起動し、再度各種接続のテストを実施しました。結果はすべて自動ログイン状態となりました。Teamsはサインアウトすると、初期状態に戻るようです。ブラウザは一貫してシングルサインオン状態でした。
ユーザープリンシパルでの同期との違い
以前、ADをUPNサフィックス環境にしてAAD同期、そもそもシンプルなAD側のドメイン名をOffice365と同じにした環境でAAD同期したことがあります。
こちらの場合は、Outlookアプリは初期状態で何も入力することなく完了しました。Teamsアプリはシングルサインオンにまだ対応出来ていないため、今回の結果とそう大きく変わりがありません。初期表示されるユーザー名が.localか.co.jpの違い程度となります。
本当の意味でAADを使用するならやはりAD側のユーザーアカウントにも手を入れて、Office365に合わせるのが良いようです。ブラウザのみで運用する場合は代替IDでも特にデメリットはないようです。
ADサーバ設定、AADサーバ設定、Windows10クライアント設定、Officeアプリインストールと長らく続けたこの記事もこれでいったん終了となります。ユーザープリンシパル環境のADのテスト結果も・・・と少し思いましたが、特に問題なくシングルサインオンが出来てしまったため、記事にすることはありません。
他にもパスワード変更時の挙動や、アカウント削除時の挙動等も記載しようかと思いましたが、大した内容でもないため除外しました。
[次回]
Teamsに搭載された旧Skype for Business 外線電話(03)関連のテスト結果を記載する予定です。