Azure ADのシングルサインオンでBoxへすばやくアクセス

　Microsoft 365にライセンスが付属する「Azure Active Directory」では、外部のクラウドサービスへのシングルサインオンが可能だ。今回は、その具体的な使い方について解説しよう。

サーバー不要で小規模組織でも気軽に使える「Azure Active Directory」

　従業員が利用するアカウントやデバイスを管理するための仕組みとして、多くの企業で使われているのが、Windows Serverに組み込まれている「Active Directory Domain Service（AD DS）」だ。IDやパスワードといったアカウント情報を集中的に管理できるほか、グループポリシーを使えば、PCの制御も可能だ。

　ただ、AD DSの利用にはWindows Serverが必要で、環境を整えるだけでもそれなりの費用が発生するため、中小企業などではAD DSを利用していないケースが多いだろう。

　AD DSは、あくまでもオンプレミス環境での利用を前提としたサービスなので、昨今幅広い業務で使われているクラウドサービスにまで適用しようとすると構成が複雑化してしまう。このため、社内ネットワークの外で業務を行う在宅勤務やテレワークなどとは、それほど相性がいいとは言えないのも事実だ。

　そこでぜひ活用したいのが、Microsoft 365に含まれる「Azure Active Directory（以下、Azure AD）」である。

Azure Active Directoryの各種設定を行うための「Azure Active Directory管理センター」。ユーザー情報の設定やパスワードのリセット、当該ユーザーが利用しているデバイスの確認などの管理が行える

　Azure ADは、AD DSと同じくアカウントやデバイスを管理するための仕組みを提供するサービスだが、大きな違いとなっているのはクラウドサービスとして提供されている点だ。Windows Serverなどを準備する必要がないだけでなく、Microsoft 365やOffice 365に含まれているほか、無償版も提供されているので、気軽に利用することができる。

　実はMicrosoft 365やOffice 365における組織内アカウントの情報は、Azure ADで管理されている。つまり、これらのサービスを利用していれば、意識していなくてもAzure ADをすでに利用しているわけだ。

シングルサインオンで各種のクラウドサービスにアクセスできる

　また、Azure ADではアカウント情報の管理以外にもさまざまな機能が提供されている。その1つが「シングルサインオン」だ。

　シングルサインオンは、Active Directoryの主要な機能の1つだが、AD DSではオンプレミスのアプリケーションやサーバーが主なターゲットだった。

　しかしAzure ADであれば、クラウドストレージサービスである「Box」や、経費精算システムを提供するクラウドサービスである「Concur」、あるいはGoogleの「G Suite」、「Facebook」など、多種多様なウェブサービスに、シングルサインオンでアクセスすることが可能になる。

Azure ADと連携するアプリケ－ションの選択画面。ビジネスマネジメントやコラボレーション、CRM、Eコマースなど、数多くのカテゴリにさまざまなクラウドサービスが登録されている

　例えば、Boxへのシングルサインオンを設定するのであれば、「Azure Active Directory管理センター」で「エンタープライズアプリケーション」を開き「新しいアプリケーション」を選ぶ。ここでBoxを選択して「追加」ボタンをクリックしよう。

　これで、エンタープライズアプリケーションの1つとしてBoxが追加されるので、「SAML」でのシングルサインオンのセットアップを行い、さらにフェデレーションメタデータXMLをダウンロードしてBox側へ登録する。Box側での作業は最大24時間掛かるため、登録が完了するまで待とう。

エンタープライズアプリケーションとしてBoxを追加。ここで「シングルサインオン」をクリックし、必要な設定を行っていく

シングルサインオンでは、クラウドベースで一般的なSAMLを使う方法と、ユーザーが入力したパスワードをAzure ADで記録し、以降のパスワード入力を不要にするパスワードベースの方法などが選べる

フェデレーションメタデータXMLをBoxへ登録し、シングルサインオンが可能になると「ステータス」が「ファイル認証済み」となる。Boxではシングルサインオンの利用モードとして、通常のID／パスワードでもサインイン可能な「SSO有効モード」と、SSO以外でのサインインが不可能になる「SSO必須モード」の2種類がある。まず前者で検証したい

　その後「BoxでシングルサインオンをTest」から、「現在のユーザーとしてサインイン」、あるいは「他のユーザーとしてサインインする」のいずれかを選び、検証して問題がなければ登録作業の完了だ。

　なお、Azure ADでBoxにSSOでサインインするための設定については、Microsoftが詳細なドキュメントを公開している。ぜひこちらも参照していただきたい。

シングルサインオンの設定が完了した後、Azure ADでシングルサインオンが可能かどうかがテストできる。自分のアカウントを使ってテストするのなら、「現在のユーザーとしてサインイン」をクリックする

シングルサインオンが問題なく設定されていれば、Boxのサインイン画面のパスワード入力画面で「SSOでサインインする」をクリックすると、パスワードを入力することなくBoxへアクセスできる

　このように、さまざまなクラウドサービスにSSOでのアクセスを可能にするメリットとしてもっとも大きいのは、複数のパスワードを覚える手間を省けることだろう。

　ユーザーはMicrosoft 365にサインインするためのパスワードだけを覚えておけば、クラウドサービスごとにパスワードを設定して覚えるというストレスから解放される。また、クラウドサービスごとに複雑なパスワードを設定するのは手間だからと、ユーザーが簡単なパスワードを使い回してしまうようなリスクを避けられることも利点だ。

　当然ではあるが、業務でクラウドサービスを使うようになったとき、IDとパスワードを何度も入力する負担は大きい。Microsoft 365を利用しているのなら、ぜひAzure ADのシングルサインオンの仕組みを積極的に活用しよう。