AzureADを利用したシングルサインオン
Office365勉強会 #18 に参加してきました。
開始時に主催者さんもおっしゃっていましたが
通常ならお金を払わないとお話を伺えないような
本当に素晴らしい方々の発表を聴講でき、大変勉強になりました。
印象に残ったのはAzureADを用いたシングルサインオンでした。
夢の話であり、とても魅力的な世界ですね。
AzureADを利用したシングルサインオンは
・フェデレーションサインオン
・パスワードベースのサインオン
を選べます。
フェデレーションサインオンは連携サービス側がSAMLなどの認証プロトコルに対応している必要があり、また設定も諸々必要なようで、少々ハードルが存在しますが
それさえ乗り越えれば最高にかっこいいSSOとなりそうです。
パスワードベースのサインオンは、連携サービス側はとくに何かに対応している必要はなく、とても楽ちんなイメージ。
というわけで試してみました。
~~~~~~~~~~
【やってみること】
Office365のアプリランチャーから、はてなブログにSSOを構成する!
【結果】
・Office365のアプリランチャーにはてなへのリンク作成
⇒OK
・はてなへのリンクをクリックして、ID/PASSが自動で入力
⇒OK
・はてなのログイン画面で実際のログイン処理
⇒NG
【あれ、って思ったポイント】
・AzureAD PremiumでないとSSOの設定ができなかった。
⇒無料試用版で乗り切る。
(ちなみにOffice365を利用しているとAzureAD Freeを知らないうちに使ってるよ)
【残念だったと思ったポイント】
・IEではアドオン、Chromeでは拡張機能のインストールが必要。
・Androidでは「myapps」というアプリ上でないとシングルサインオンが機能しない。
~~~~~~~~~~
はてなのログイン処理が走らないのは・・・
たぶんどうしようもないのかな、と思っています。
パスワードベースのSSOはあくまでAzureAD側で無理矢理なんとかしてくれているものであり、必ずしもうまくいくものではない・・・と認識しています。
まぁID/PASSまで自動入力してくれているから一旦OKとしよう。
アドオンおよび拡張機能のインストールはしょうがないものとしよう。
だがAndroid、これは結構厳しい制限だなぁ。普段使ってるブラウザとは別のものを利用する必要がある、、、、ってちょっとねぇ。。
というわけでここまで!
普段認証の部分に携わっていないのでとても新鮮でした。
すべてのシステムがSSOで繋がったら最高にかっこいいと思います。
Office365のアプリランチャーから様々なシステムに飛べたら・・・。
が、すべてのシステムをSSOにするのは現実的ではないと判断されるかもしれません。
たとえば、SSOのシステムが死んだらどうしましょうか。
全システム、ログインできなくなるんですかね。
・・とかね。きっと色々考えなきゃいけないことはあるんでしょう。
ここらへんはもう少し勉強しようと思います。
ブログを書くまでが勉強会らしいので、頑張って書いてみましたが、
内容のあるみなさまのブログのようにするにはかなり難しいと感じました。。