Gléasで発行したクライアント証明書を使って、Office 365(ブラウザ/ネイティブアプリ)へのログインに、Active Directoryフェデレーションサービス(AD FS)での電子証明書認証の動作確認を行いました。

設定手順PDF (2.4MB)

構成図
Windows,OS X,AndroidからOffice 365とADFSでのクライアント証明書認証

AD FSとWeb Application Proxy(WAP) で、Gléasのルート証明書を、「信頼されたルート証明機関」として登録しておきます。続いて、AD FSとWAPにGléasで発行したサーバ証明書を設定します。

Gléasからクライアント証明書をインポートしたWindows、OS X、Androidで、ブラウザ/ネイティブアプリを使ってOffice 365へアクセスします。
Office 365は認証をAD FSに委任します。AD FSのログイン画面でActive Directoryのパスワードを入力します。

続いて、クライアント証明書の提示を求められ、Gléasからインポートした証明書を提示します。
証明書に記載されたCRL(Certificate Revocation List:証明書失効リスト)と、AD FSに登録されたGléasのルート証明書によって、AD FSは証明書の有効性を確認します。

有効な証明書が提示されると、Office 365へログインできます。
Active Directoryのパスワード(知識)とクライアント証明書(保持)による二要素認証となります。

構成図
iOSからOffice 365へのADFSを使った電子証明書認証

iOSではGléasからインポートしたクライアント証明書に加えて、iOSアプリ「Microsoft Authenticator」を使います。

ブラウザ/ネイティブアプリを使ってOffice 365へアクセスすると、Microsoft Authenticatorが起動し、Active Directoryのパスワードを要求されます。

続いて、バックグラウンドで証明書認証が自動で行われ、Office 365へログインします。
Windowsなど他のクライアントと同様、AD FSではCRLとGléasのルート証明書による、クライアント証明書の有効性確認が行われています。

今回の検証でOffice 365へアクセスできるデバイスを、クライアント証明書認証によって限定できることが確認できました。

既存のWindowsサーバを活かしながら、iOS、macOS、AndroidでもOffice 365に証明書認証を導入したいと考える方にお勧めのソリューションです。

なお、AD FSはSAMLの認証サーバとなることができるため、Office 365以外のSAML対応クラウドサービスを含めたシングルサインオンの環境を構築できます。

関連するコンテンツ

関連ニュース

  1. 2019.01.29 SafeNet Trusted Accessを使ったOffice 365証明書認証 技術資料
  2. 2018.04.02 VMware Identity Managerでのクライアント証明書認証 技術資料
  3. 2017.04.19 Office 365とPulse Connect Secureでの電子証明書認証 技術資料
  4. 2017.03.08 Office 365とPingFederateでの電子証明書認証 技術資料
  5. 2016.12.26 Office 365の端末認証についてのインタビュー記事 メディア掲載
  6. 2016.09.26 Officeモバイルアプリのクライアント証明書認証 技術資料
  7. 2016.08.03 クライアント証明書によるOffice 365の先進認証 アップデート
  8. 2013.03.19 SeciossLinkからOffice 365への証明書認証 技術資料

個別の環境でのテストや、お見積もり、ご相談をご希望の方は、
下記フォームよりお問い合わせください。

お問い合わせ