M365へのログイン認証に外部IDPを使えるか
既に何かIDPサービス(IDP①とする)を利用していて、色々なサービスへの認証(SSO)を、このIDPサービスで行っているケースがあると思います。
そのような場合、新たにM365を導入する際、「M365へのログイン認証もこのIDP①でできないか?」と聞かれることがあったので確認してみました。
★既定では、M365へのログイン認証には、AzureのIDPサービスである「Entra ID」が利用されます。
結論
SAML 2.0やWS-Fed や にてフェデレーションを行うことは可能です。
SAML2.0の場合
SAML 2.0 におけるプロトコルの要件や設定については以下の公開情報を参照ください。
——————————————————————
上記の公開情報に記載の通り SAML によるフェデレーション認証の場合には、利用可能なクライアントに以下の制限があります。
——————————————————————
後半に記載されている「電子メールリッチクライアント」は、「基本認証を使用している」ことが条件になります。ただし、基本認証自体廃止される予定があるため、「電子メールリッチクライアント」も外部IDPによるSAML2.0の認証は利用できません。
結論としては、前半に記載の
「Outlook Web Access や SharePoint Online などの Web ベースのクライアント」のみが利用可能なクライアントとなります。
M365ユーザよって、外部IDPとEntra IDの使い分けは可能か
M365ユーザに応じてIDPを、外部IDPにしたり、Entra IDにするというような使い分けが可能か確認しました。
ユーザーに関しての認証としては外部 IdP とフェデレーションを行う場合、以下の公開情報の通りドメイン単位での設定が必要なります。
そのため同一ドメインのユーザーである場合にはユーザー毎に認証先を変更するということができません。
しかしながら、フェデレーションはドメイン単位での設定ですので、contoso.com と fabricam.com というような 2 つのドメインが存在する環境において、 contoso.com のドメインのユーザーは外部 IdP でのフェデレーション認証、 fabricam.com のドメインのユーザーは Entra ID でのマネージド認証というような利用を行うことは可能です。
WS-Fed の場合
WS-Fed については、外部の IdP を利用する場合、外部の IdP が対応可能かどうかという点に依存します。
そのため互換性については利用想定の IdP 側に確認する必要があります。
(抜粋)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
組織でサードパーティのフェデレーション ソリューションを使用している場合、Microsoft 365 などの Microsoft Online Services を使用して、オンプレミスの Active Directory ユーザー向けにシングルサインオンを構成することができます。
ただし、サードパーティのフェデレーション ソリューションが Microsoft Entra ID と互換性がある必要があります。
互換性に関する質問については、ID プロバイダーに問い合わせてください。
Microsoft によって Microsoft Entra ID との互換性を以前にテストされている ID プロバイダーの一覧を表示するには、Microsoft Entra ID プロバイダー互換性ドキュメントのページを参照してください。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
どういったクライアントに対応しているかという点も外部の IdP に依存します。
プロトコルの詳細や、設定における必要情報、互換性リストについては、英語のみですが、以下よりダウンロード可能です。
参考 : https://www.microsoft.com/en-us/download/details.aspx?id=56843
MS-Fedの場合、設定に関して、設定する際の設定値としては外部の IdP にて確認した値を利用することとなるため IdP 側に設定方法を確認する必要があります。
ディスカッション
コメント一覧
まだ、コメントがありません