このチュートリアルでは、Datawiza Access Proxy (DAP) を構成して、Outlook Web Access (OWA) の Microsoft Entra シングル サインオン (SSO) と Microsoft Entra 多要素認証 を有効にする方法について説明します。 最新の ID プロバイダー (IdP) がレガシ OWA と統合されている場合の問題の解決に役立ちます。これは、Kerberos トークン認証によるユーザー識別をサポートしています。
最新のプロトコルのサポートがないため、レガシ アプリと最新の SSO の統合が課題になることがよくあります。 Datawiza Access Proxy を使用すると、プロトコルのサポートに関するギャップが解消され、統合オーバーヘッドが軽減され、アプリケーションのセキュリティが向上します。
統合の利点:
- SSO、MFA、条件付きアクセスによる、ゼロ トラストのセキュリティ強化:
- ゼロ トラストを使用したプロアクティブ セキュリティの採用に関する説明を参照してください
- 「条件付きアクセスとは」を参照してください。
- Microsoft Entra ID および Web アプリとのコードなしでの統合:
- オワ
- オラクルJDエドワーズ
- Oracle E-business Suite
- オラクル・シーベル
- オラクルPeopleSoft
- ご使用のアプリ
- コードなしの Datawiza を使用した Microsoft Entra ID での簡単な認証と承認を参照してください
- Datawiza Cloud 管理コンソール (DCMC) を使用した、クラウドとオンプレミスのアプリへのアクセス管理:
- login.datawiza.com に移動してサインインまたはアカウントにサインアップする
アーキテクチャ
DAP 統合アーキテクチャには次のコンポーネントがあります。
- Microsoft Entra ID - ユーザーがサインインして外部リソースと内部リソースにアクセスするのに役立つ ID とアクセス管理サービス
- OWA - Microsoft Entra ID によって保護される従来の Exchange Server コンポーネント
- ドメイン コントローラー - Windows ベースのネットワーク内のネットワーク リソースへのユーザー認証とアクセスを管理するサーバー
- キー配布センター (KDC) - Kerberos 認証システムで秘密鍵とチケットを配布および管理します
-
DAP - ユーザー サインイン用に OpenID Connect (OIDC)、OAuth、または Security Assertion Markup Language (SAML) を実装するリバース プロキシ。 DAP は、次を使用して保護されたアプリケーションと統合します。
- HTTP ヘッダー
- Kerberos
- JSON Web トークン (JWT)
- その他のプロトコル
- DCMC - 構成とアクセス制御ポリシーを管理するための UI および RESTful API を備えた DAP 管理コンソール
次の図は、顧客ネットワーク内の DAP を使用したユーザー フローを示しています。
次の図は、ユーザー ブラウザーから OWA へのユーザー フローを示しています。
- ユーザー ブラウザーは、DAP で保護された OWA へのアクセスを要求します。
- ユーザー ブラウザーは、Microsoft Entra ID に移動されます。
- Microsoft Entra のサインイン ページが表示されます。
- ユーザーが資格情報を入力します。
- 認証時に、ユーザー ブラウザーが DAP に送信されます。
- DAP と Microsoft Entra ID 交換トークン。
- Microsoft Entra ID が、ユーザー名と関連情報を DAP に発行します。
- DAP は、資格情報を使用してキー配布センター (KDC) にアクセスします。 DAP が Kerberos チケットを要求します。
- KDC が Kerberos チケットを返します。
- DAP が、ユーザー ブラウザーを OWA にリダイレクトします。
- OWA リソースが表示されます。|
注
後続のユーザー ブラウザー要求には Kerberos トークンが含まれています。これにより、DAP 経由で OWA にアクセスできます。
必須コンポーネント
次のコンポーネントが必要になります。 以前の DAP エクスペリエンスは必要ありません。
- Azure アカウント
- お持ちでない場合は、Azure 無料アカウントを入手してください
- Azure アカウントにリンクされた Microsoft Entra テナント
- 「クイック スタート: Microsoft Entra ID で新しいテナントを作成する」を参照してください
- DAP を実行するには Docker と Docker Compose が必要
- 参照、 Docker の取得
- Docker Compose のインストール、概要に関するページを参照してください
- オンプレミスのディレクトリから Microsoft Entra ID に同期されたユーザー ID、または Microsoft Entra ID 内で作成されてオンプレミスのディレクトリに戻されたユーザー ID
- Microsoft Entra アプリケーション管理者のアクセス許可を持つアカウント
- Microsoft Entra 組み込みロールで、アプリケーション管理者やその他のロールを参照してください。
- Exchange Server 環境。 サポート対象のバージョン:
- Microsoft インターネット インフォメーション サービス (IIS) 統合 Windows 認証 (IWA) - IIS 7 以降
- Microsoft OWA IWA - IIS 7 以降
- ドメイン コントローラー (DC) として実行され、Kerberos (IWA) SSO を実装する IIS と Microsoft Entra サービスが構成された Windows Server インスタンス
- 大規模な運用環境では、アプリケーション サーバー (IIS) が DC としても機能するのは一般的ではありません。
- 省略可能: HTTPS 経由でサービスを発行する SSL Web 証明書、またはテスト用の DAP 自己署名証明書。
OWA の Kerberos 認証を有効にする
Exchange 管理センターにサインインします。
Exchange 管理センターの左側のナビゲーションで、サーバーを選択 します。
[仮想ディレクトリ] タブを選択します。
[ サーバーの選択 ] ドロップダウンから、サーバーを選択します。
owa (既定の Web サイト) をダブルクリックします。
仮想ディレクトリで、認証タブを選択します。
[認証] タブで、[ 1 つ以上の標準認証方法を使用する] を選択し、[ 統合 Windows 認証] を選択します。
[保存] を選択する
コマンド プロンプトを開きます。
iisreset コマンドを実行します。
DAP サービス アカウントを作成する
DAP では、Kerberos サービスを構成するために、インスタンスが使用する既知の Windows 資格情報が必要になります。 ユーザーは DAP サービス アカウントを使用します。
Windows Server インスタンスにサインインします。
[ ユーザーとコンピューター] を選択します。
DAP インスタンスの下矢印を選択します。 例は datawizatest.com です。
一覧で、[ ユーザー] を右クリックします。
メニューから [ 新規] を選択し、[ ユーザー] を選択します。
[新しいオブジェクト] - [ユーザー] に名と姓を入力します。
[ ユーザー ログオン名] に 「dap」と入力します。
[ 次へ] を選択します。
[ パスワード] にパスワードを入力します。
[確認] にもう一度入力 します。
[ ユーザーがパスワードを変更できない ]と[ パスワードの有効期限が切れない]のチェック ボックスをオンにします。
[ 次へ] を選択します。
新しいユーザーを右クリックして、構成されたプロパティを表示します。
サービス アカウントのサービス プリンシパル名を作成する
サービス プリンシパル名 (SPN) を作成する前に、SPN を一覧表示し、http SPN がそれらの中に含まれているかどうかを確認できます。
SPN を一覧表示するには、Windows コマンド ラインで次の構文を使用します。
setspn -Q \*/\<**domain.com**
http SPN がそれらの中に含まれていることを確認します。
アカウントのホスト SPN を登録するには、Windows コマンド ラインで次の構文を使用します。
setspn -A host/dap.datawizatest.com dap
注
host/dap.datawizatest.com
は一意の SPN で、dap は作成したサービス アカウントです。
制約付き委任用に Windows Server IIS を構成する
ドメイン コントローラー (DC) にサインインします。
[ ユーザーとコンピューター] を選択します。
組織で、 Users オブジェクトを見つけて選択します。
作成したサービス アカウントを見つけます。
そのアカウントを右クリックします。
一覧から [ プロパティ] を選択します。
[ 委任 ] タブを選択します。
指定したサービスへの委任に対してのみ[このユーザーを信頼する]を選択します。
[ 任意の認証プロトコルを使用する] を選択します。
追加を選択します。
[ サービスの追加] で、[ ユーザー] または [コンピューター] を選択します。
選択 するオブジェクト名を入力し、マシン名を入力します。
[ OK] を選択する
[ サービスの追加] で、[利用可能なサービス] の [サービスの種類] で [http] を選択 します。
[ OK] を選択する
OWA と Microsoft Entra ID を統合する
OWA と Microsoft Entra ID を統合するには、次の手順に従います。
Datawiza Cloud Management Console (DCMC) にサインインします。
[ようこそ] ページが表示されます。
オレンジ色の [ 作業の開始 ] ボタンを選択します。
展開名
[ 展開名] に、[ 名前] と [説明] を入力します。
[ 次へ] を選択します。
アプリケーションの追加
[ アプリケーションの追加]で、[プラットフォーム] で [Web] を選択 します。
[ アプリ名] に、アプリ名を入力します。 わかりやすい名前付け規則をお勧めします。
[パブリック ドメイン] には、アプリの外部向け URL を入力します。 たとえば、
https://external.example.com
のようにします。 テストには localhost ドメイン ネーム サーバー (DNS) を使用します。[リッスン ポート] に、DAP がリッスンするポートを入力します。 ロード バランサーの背後に DAP がデプロイされていない場合は、パブリック ドメインに示されているポートを使用できます。
アップストリーム サーバーの場合は、OWA 実装の URL とポートの組み合わせを入力します。
[ 次へ] を選択します。
IdP を構成する
DCMC 統合機能は、Microsoft Entra 構成を完了するのに役立ちます。 代わりに、DCMC は Microsoft Graph API を呼び出してタスクを実行します。 この機能により、時間、労力、エラーが削減されます。
「IdP の構成」で名前を入力します。
[ プロトコル] で、[ OIDC] を選択します。
ID プロバイダーの場合は、Microsoft Entra ID を選択します。
自動ジェネレーターを有効にします。
[サポートされているアカウントの種類] で、[この組織のディレクトリ内のアカウントのみ (シングル テナント)] を選択します。
作成 を選択します。
DAP とアプリケーションのデプロイ手順を示すページが表示されます。
デプロイの Docker Compose ファイルを参照してください。そこには DAP のイメージ、また PROVISIONING_KEY と PROVISIONING_SECRET が含まれています。DAP はこれらのキーを使用して、最新の DCMC 構成とポリシーを取得します。
Kerberos の構成
アプリケーション ページで、[アプリケーションの 詳細] を選択します。
[ 詳細設定 ] タブを選択します。
[Kerberos] サブ タブで、Kerberos を有効にします。
Kerberos 領域の場合は、Kerberos データベースが格納されている場所またはドメインを入力します。
SPN の場合は、OWA アプリケーションのサービス プリンシパル名を入力します。 これは、作成した SPN とは異なります。
[委任されたログイン ID] に、アプリケーションの外部向け URL を入力します。 テストには localhost DNS を使用します。
KDC の場合は、ドメイン コントローラー IP を入力します。 DNS が構成されている場合は、完全修飾ドメイン名 (FQDN) を入力します。
[サービス アカウント] に、作成したサービス アカウントを入力します。
[ 認証の種類] で、[パスワード] を選択 します。
サービス アカウントのパスワードを入力 します。
[保存] を選択します。
SSL の構成
アプリケーション ページで、[ 詳細設定 ] タブを選択します。
SSL サブタブを選択します。
[ 編集] を選択します。
[ SSL を有効にする] オプションを選択します。
[ 証明書の種類] から、証明書の種類を選択します。 テストには提供された自己署名 localhost 証明書を使用できます。
[保存] を選択します。
Optional: Microsoft Entra 多要素認証を有効にする
サインインのセキュリティを高めるために、Microsoft Entra 多要素認証を適用できます。 プロセスが Microsoft Entra 管理センターで開始されます。
- アプリケーション管理者として Microsoft Entra 管理センターにサインインします。
- [Entra ID>Overview>Properties] タブに移動します。
- [ セキュリティの既定値] で、[ セキュリティの既定値の管理] を選択します。
- [ セキュリティの既定値 ] ウィンドウで、ドロップダウン メニューを切り替えて [有効] を選択します。
- [保存] を選択します。