パスワード同期/シングルサインオンの設定手順【Office 365編】
シングルサインオン/パスワード同期について
シングルサインオン、パスワード同期には両製品での設定が必要になります。
こちらの記事ではADSelfService PlusとOffice365とのSSO(シングルサイン)の設定手順をご説明いたします。
ADSelfService PlusでOffice365用のパスワードシンクロナイザーを設定するためには、
以下の設定を行う必要があります。
SSOは、Status as Verifiedを持つドメインに対してのみ有効にすることができます。SSOは、管理外ドメイン(onmicrosoft.comサブドメインを持たないドメイン)に対してのみ有効にすることができます。
【前提条件】
Office 365 / Azure用のパスワード同期の設定をADSelfService Plusで行う前に、Microsoft Online Services Sign-In Assistantおよび利用OSに適したWindows PowerShell用のWindows Azure ADモジュールをインストールする必要があります。以下の手順でインストールしてください。
・Microsoft Online Services Sign-In Assistantを下記URLからインストールする
https://www.microsoft.com/en-in/download/details.aspx?id=54616
・Windows PowerShell用Windows Azure ADモジュールを下記URLからインストールする
https://www.powershellgallery.com/packages/MSOnline/1.1.183.66
【ADSelfService PlusでOffice 365 / Azureアカウントを設定する手順】
- 「設定」→「セルフサービス」→「パスワードシンクロナイザー」の順にクリックする
- 「Office 365 / Azure」をクリックするとOffice 365 / Azureの設定ページが表示される
(1)(2) - Office 365 / Azureアカウントのドメイン名を入力する
- Office 365 / Azureアカウントのユーザー名とパスワードを入力する
- 説明を入力する(任意)
- パスワードシンクロナイザーを使用してパスワードを同期するポリシーを選択する
- SSO証明書ダウンロードより証明書をダウンロード
- 「保存」をクリックする
ログインURL/ログアウトURLはSSO証明書ダウンロードをクリックしていただくことで入手可能です。
POWERSHELLを使用してSSOの設定
POWERSHELLを使用して以下コマンドを実行してください。
- $cred = Get-Credential
- Connect-MsolService -Credential $cred
- Get-MsolDomain
- $dom = "ドメイン名"
- $url = "ログインURL"
- $uri = "ログインURL"
- $logouturl = "ログアウトURL"
- $cert = "
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"ダウンロードした証明書は一度テキストエディタなどで開いていただいて、改行をなくし[ーーーbegin,endーーー]を取り除いてください - Set-MsolDomainAuthentication -DomainName $dom -FederationBrandName $dom -Authentication Federated -PassiveLogOnUri $url -SigningCertificate $cert -IssuerUri $uri -LogOffUri $logouturl -PreferredAuthenticationProtocol SAMLP
上記のコマンドはSSOの設定をオンにするコマンドです
- Get-MSolDomainFederationSettings -DomainName "mycompany.com" | Format-List *
上記のコマンドはSSOの設定できているか確認コマンドです
設定ができていると上記で入力した内容が表示されます
SSOの設定をオフにするときのコマンド
$dom = "manageengine.yokohama"
Set-MsolDomainAuthentication -DomainName $dom -FederationBrandName $dom -Authentication Managed
以上が手順になります。