次の方法で共有


Outlook Web Access の Microsoft Entra SSO と MFA 用に Datawiza Access Proxy を構成する

このチュートリアルでは、Datawiza Access Proxy (DAP) を構成して、Outlook Web Access (OWA) の Microsoft Entra シングル サインオン (SSO) と Microsoft Entra 多要素認証 を有効にする方法について説明します。 最新の ID プロバイダー (IdP) がレガシ OWA と統合されている場合の問題の解決に役立ちます。これは、Kerberos トークン認証によるユーザー識別をサポートしています。

最新のプロトコルのサポートがないため、レガシ アプリと最新の SSO の統合が課題になることがよくあります。 Datawiza Access Proxy を使用すると、プロトコルのサポートに関するギャップが解消され、統合オーバーヘッドが軽減され、アプリケーションのセキュリティが向上します。

統合の利点:

アーキテクチャ

DAP 統合アーキテクチャには次のコンポーネントがあります。

  • Microsoft Entra ID - ユーザーがサインインして外部リソースと内部リソースにアクセスするのに役立つ ID とアクセス管理サービス
  • OWA - Microsoft Entra ID によって保護される従来の Exchange Server コンポーネント
  • ドメイン コントローラー - Windows ベースのネットワーク内のネットワーク リソースへのユーザー認証とアクセスを管理するサーバー
  • キー配布センター (KDC) - Kerberos 認証システムで秘密鍵とチケットを配布および管理します
  • DAP - ユーザー サインイン用に OpenID Connect (OIDC)、OAuth、または Security Assertion Markup Language (SAML) を実装するリバース プロキシ。 DAP は、次を使用して保護されたアプリケーションと統合します。
    • HTTP ヘッダー
    • Kerberos
    • JSON Web トークン (JWT)
    • その他のプロトコル
  • DCMC - 構成とアクセス制御ポリシーを管理するための UI および RESTful API を備えた DAP 管理コンソール

次の図は、顧客ネットワーク内の DAP を使用したユーザー フローを示しています。

顧客ネットワーク内の DAP を使用したユーザー フローのスクリーンショット。

次の図は、ユーザー ブラウザーから OWA へのユーザー フローを示しています。

ユーザー ブラウザーから owa へのユーザー フローのスクリーンショット。

  1. ユーザー ブラウザーは、DAP で保護された OWA へのアクセスを要求します。
  2. ユーザー ブラウザーは、Microsoft Entra ID に移動されます。
  3. Microsoft Entra のサインイン ページが表示されます。
  4. ユーザーが資格情報を入力します。
  5. 認証時に、ユーザー ブラウザーが DAP に送信されます。
  6. DAP と Microsoft Entra ID 交換トークン。
  7. Microsoft Entra ID が、ユーザー名と関連情報を DAP に発行します。
  8. DAP は、資格情報を使用してキー配布センター (KDC) にアクセスします。 DAP が Kerberos チケットを要求します。
  9. KDC が Kerberos チケットを返します。
  10. DAP が、ユーザー ブラウザーを OWA にリダイレクトします。
  11. OWA リソースが表示されます。|

後続のユーザー ブラウザー要求には Kerberos トークンが含まれています。これにより、DAP 経由で OWA にアクセスできます。

必須コンポーネント

次のコンポーネントが必要になります。 以前の DAP エクスペリエンスは必要ありません。

  • Azure アカウント
  • Azure アカウントにリンクされた Microsoft Entra テナント
  • DAP を実行するには Docker と Docker Compose が必要
    • 参照、 Docker の取得
    • Docker Compose のインストール、概要に関するページを参照してください
  • オンプレミスのディレクトリから Microsoft Entra ID に同期されたユーザー ID、または Microsoft Entra ID 内で作成されてオンプレミスのディレクトリに戻されたユーザー ID
  • Microsoft Entra アプリケーション管理者のアクセス許可を持つアカウント
  • Exchange Server 環境。 サポート対象のバージョン:
    • Microsoft インターネット インフォメーション サービス (IIS) 統合 Windows 認証 (IWA) - IIS 7 以降
    • Microsoft OWA IWA - IIS 7 以降
  • ドメイン コントローラー (DC) として実行され、Kerberos (IWA) SSO を実装する IIS と Microsoft Entra サービスが構成された Windows Server インスタンス
    • 大規模な運用環境では、アプリケーション サーバー (IIS) が DC としても機能するのは一般的ではありません。
  • 省略可能: HTTPS 経由でサービスを発行する SSL Web 証明書、またはテスト用の DAP 自己署名証明書。

OWA の Kerberos 認証を有効にする

  1. Exchange 管理センターにサインインします。

  2. Exchange 管理センターの左側のナビゲーションで、サーバーを選択 します

  3. [仮想ディレクトリ] タブを選択します。

    仮想ディレクトリを示すスクリーンショット。

  4. [ サーバーの選択 ] ドロップダウンから、サーバーを選択します。

  5. owa (既定の Web サイト) をダブルクリックします。

  6. 仮想ディレクトリで、認証タブを選択します。

  7. [認証] タブで、[ 1 つ以上の標準認証方法を使用する] を選択し、[ 統合 Windows 認証] を選択します。

  8. [保存] を選択する

    [internet-explorer] タブを示すスクリーンショット。

  9. コマンド プロンプトを開きます。

  10. iisreset コマンドを実行します。

    IIS リセット コマンドのスクリーンショット。

DAP サービス アカウントを作成する

DAP では、Kerberos サービスを構成するために、インスタンスが使用する既知の Windows 資格情報が必要になります。 ユーザーは DAP サービス アカウントを使用します。

  1. Windows Server インスタンスにサインインします。

  2. [ ユーザーとコンピューター] を選択します

  3. DAP インスタンスの下矢印を選択します。 例は datawizatest.com です。

  4. 一覧で、[ ユーザー] を右クリックします。

  5. メニューから [ 新規] を選択し、[ ユーザー] を選択します。

  6. [新しいオブジェクト] - [ユーザー] にを入力します。

  7. [ ユーザー ログオン名]「dap」と入力します。

  8. [ 次へ] を選択します。

    ユーザー ログオンのスクリーンショット。

  9. [ パスワード] にパスワードを入力します。

  10. [確認] にもう一度入力 します

  11. [ ユーザーがパスワードを変更できない ]と[ パスワードの有効期限が切れない]のチェック ボックスをオンにします。

    パスワード メニューのスクリーンショット。

  12. [ 次へ] を選択します。

  13. 新しいユーザーを右クリックして、構成されたプロパティを表示します。

サービス アカウントのサービス プリンシパル名を作成する

サービス プリンシパル名 (SPN) を作成する前に、SPN を一覧表示し、http SPN がそれらの中に含まれているかどうかを確認できます。

  1. SPN を一覧表示するには、Windows コマンド ラインで次の構文を使用します。

    setspn -Q \*/\<**domain.com**

  2. http SPN がそれらの中に含まれていることを確認します。

  3. アカウントのホスト SPN を登録するには、Windows コマンド ラインで次の構文を使用します。

    setspn -A host/dap.datawizatest.com dap

host/dap.datawizatest.com は一意の SPN で、dap は作成したサービス アカウントです。

制約付き委任用に Windows Server IIS を構成する

  1. ドメイン コントローラー (DC) にサインインします。

  2. [ ユーザーとコンピューター] を選択します。

  3. 組織で、 Users オブジェクトを見つけて選択します。

  4. 作成したサービス アカウントを見つけます。

  5. そのアカウントを右クリックします。

  6. 一覧から [ プロパティ] を選択します。

  7. [ 委任 ] タブを選択します。

  8. 指定したサービスへの委任に対してのみ[このユーザーを信頼する]を選択します。

  9. [ 任意の認証プロトコルを使用する] を選択します。

  10. 追加を選択します。

    認証プロトコルを示すスクリーンショット。

  11. [ サービスの追加] で、[ ユーザー] または [コンピューター] を選択します。

    [サービスの追加] ウィンドウを示すスクリーンショット。

  12. 選択 するオブジェクト名を入力し、マシン名を入力します。

  13. [ OK] を選択する

    [オブジェクト名の選択] フィールドを示すスクリーンショット。

  14. [ サービスの追加] で、[利用可能なサービス] の [サービスの種類] で [http] を選択 します。

  15. [ OK] を選択する

    Http サービスの追加フィールドを示すスクリーンショット。

OWA と Microsoft Entra ID を統合する

OWA と Microsoft Entra ID を統合するには、次の手順に従います。

  1. Datawiza Cloud Management Console (DCMC) にサインインします。

  2. [ようこそ] ページが表示されます。

  3. オレンジ色の [ 作業の開始 ] ボタンを選択します。

    アクセス プロキシ画面を示すスクリーンショット。

展開名

  1. [ 展開名] に、[ 名前][説明] を入力します。

  2. [ 次へ] を選択します。

    [デプロイ名] 画面を示すスクリーンショット。

アプリケーションの追加

  1. [ アプリケーションの追加]で、[プラットフォーム] で [Web] を選択 します

  2. [ アプリ名] に、アプリ名を入力します。 わかりやすい名前付け規則をお勧めします。

  3. [パブリック ドメイン] には、アプリの外部向け URL を入力します。 たとえば、https://external.example.com のようにします。 テストには localhost ドメイン ネーム サーバー (DNS) を使用します。

  4. [リッスン ポート] に、DAP がリッスンするポートを入力します。 ロード バランサーの背後に DAP がデプロイされていない場合は、パブリック ドメインに示されているポートを使用できます。

  5. アップストリーム サーバーの場合は、OWA 実装の URL とポートの組み合わせを入力します。

  6. [ 次へ] を選択します。

    [アプリケーションの追加] 画面を示すスクリーンショット。

IdP を構成する

DCMC 統合機能は、Microsoft Entra 構成を完了するのに役立ちます。 代わりに、DCMC は Microsoft Graph API を呼び出してタスクを実行します。 この機能により、時間、労力、エラーが削減されます。

  1. 「IdP の構成」名前を入力します。

  2. [ プロトコル] で、[ OIDC] を選択します。

  3. ID プロバイダーの場合は、Microsoft Entra ID を選択します。

  4. 自動ジェネレーターを有効にします。

  5. [サポートされているアカウントの種類] で、[この組織のディレクトリ内のアカウントのみ (シングル テナント)] を選択します。

  6. 作成 を選択します。

  7. DAP とアプリケーションのデプロイ手順を示すページが表示されます。

  8. デプロイの Docker Compose ファイルを参照してください。そこには DAP のイメージ、また PROVISIONING_KEYPROVISIONING_SECRET が含まれています。DAP はこれらのキーを使用して、最新の DCMC 構成とポリシーを取得します。

Kerberos の構成

  1. アプリケーション ページで、[アプリケーションの 詳細] を選択します。

  2. [ 詳細設定 ] タブを選択します。

  3. [Kerberos] サブ タブで、Kerberos を有効にします。

  4. Kerberos 領域の場合は、Kerberos データベースが格納されている場所またはドメインを入力します。

  5. SPN の場合は、OWA アプリケーションのサービス プリンシパル名を入力します。 これは、作成した SPN とは異なります。

  6. [委任されたログイン ID] に、アプリケーションの外部向け URL を入力します。 テストには localhost DNS を使用します。

  7. KDC の場合は、ドメイン コントローラー IP を入力します。 DNS が構成されている場合は、完全修飾ドメイン名 (FQDN) を入力します。

  8. [サービス アカウント] に、作成したサービス アカウントを入力します。

  9. [ 認証の種類] で、[パスワード] を選択 します

  10. サービス アカウントのパスワードを入力 します

  11. [保存] を選択します

    Kerberos の構成を示すスクリーンショット。

SSL の構成

  1. アプリケーション ページで、[ 詳細設定 ] タブを選択します。

  2. SSL サブタブを選択します。

  3. [ 編集] を選択します

    datawiza の詳細ウィンドウを示すスクリーンショット。

  4. [ SSL を有効にする] オプションを選択します

  5. [ 証明書の種類] から、証明書の種類を選択します。 テストには提供された自己署名 localhost 証明書を使用できます。

    証明書の種類を示すスクリーンショット。

  6. [保存] を選択します

Optional: Microsoft Entra 多要素認証を有効にする

サインインのセキュリティを高めるために、Microsoft Entra 多要素認証を適用できます。 プロセスが Microsoft Entra 管理センターで開始されます。

  1. アプリケーション管理者として Microsoft Entra 管理センターにサインインします。
  2. [Entra ID>Overview>Properties] タブに移動します。
  3. [ セキュリティの既定値] で、[ セキュリティの既定値の管理] を選択します。
  4. [ セキュリティの既定値 ] ウィンドウで、ドロップダウン メニューを切り替えて [有効] を選択します。
  5. [保存] を選択します

次のステップ