ADSelfService Plus ナレッジベース

パスワード同期/シングルサインオンの設定手順【Office 365編】


シングルサインオン/パスワード同期について
シングルサインオン、パスワード同期には両製品での設定が必要になります。

こちらの記事ではADSelfService PlusとOffice365とのSSO(シングルサイン)の設定手順をご説明いたします。

ADSelfService PlusでOffice365用のパスワードシンクロナイザーを設定するためには、
以下の設定を行う必要があります。

SSOは、Status as Verifiedを持つドメインに対してのみ有効にすることができます。SSOは、管理外ドメイン(onmicrosoft.comサブドメインを持たないドメイン)に対してのみ有効にすることができます。

【前提条件】

Office 365 / Azure用のパスワード同期の設定をADSelfService Plusで行う前に、Microsoft Online Services Sign-In Assistantおよび利用OSに適したWindows PowerShell用のWindows Azure ADモジュールをインストールする必要があります。以下の手順でインストールしてください。

32bitのOSを使用している場合

・Microsoft Online Services Sign-In Assistantを下記URLからインストールする
http://www.microsoft.com/ja-JP/download/details.aspx?id=39267

(1)

office365 1

(2)

office365 2

・Windows PowerShell用Windows Azure ADモジュールを下記URLからインストールする
http://go.microsoft.com/fwlink/p/?linkid=236298

64bitのOSを使用している場合

・Microsoft Online Services Sign-In Assistantを下記URLからインストールする
http://www.microsoft.com/ja-JP/download/details.aspx?id=39267

(1)

office365 1

(2)

office365 3

・Windows PowerShell用Windows Azure ADモジュールを下記URLからインストールする
https://www.microsoft.com/en-us/download/details.aspx?id=54616

 

【ADSelfService PlusでOffice 365 / Azureアカウントを設定する手順】

  1. 「設定」→「セルフサービス」→「パスワードシンクロナイザー」の順にクリックする
  2. 「Office 365 / Azure」をクリックするとOffice 365 / Azureの設定ページが表示される
    (1)office365 4(2)office365 5
  3. Office 365 / Azureアカウントのドメイン名を入力する
  4. Office 365 / Azureアカウントのユーザー名とパスワードを入力する
  5. 説明を入力する(任意)
  6. パスワードシンクロナイザーを使用してパスワードを同期するポリシーを選択する
  7. SSO証明書ダウンロードより証明書をダウンロード
  8. 「保存」をクリックする

ログインURL/ログアウトURLはSSO証明書ダウンロードをクリックしていただくことで入手可能です。

 

POWERSHELLを使用してSSOの設定

POWERSHELLを使用して以下コマンドを実行してください。

  1. $cred = Get-Credential
  2. Connect-MsolService -Credential $cred
  3. Get-MsolDomain
  4. $dom = "ドメイン名"
  5. $url = "ログインURL"
  6. $uri = "ログインURL"
  7. $logouturl = "ログアウトURL"
  8. $cert = "
    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"

    ダウンロードした証明書は一度テキストエディタなどで開いていただいて、改行をなくし[ーーーbegin,endーーー]を取り除いてください
  9. Set-MsolDomainAuthentication -DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
    上記のコマンドはSSOの設定をオンにするコマンドです
  10. Get-MSolDomainFederationSettings -DomainName "mycompany.com" | Format-List *
    上記のコマンドはSSOの設定できているか確認コマンドです
    設定ができていると上記で入力した内容が表示されます

SSOの設定をオフにするときのコマンド
$dom = "manageengine.yokohama"
Set-MsolDomainAuthentication -DomainName $dom -FederationBrandName $dom -Authentication Managed

以上が手順になります。