Office 365とADFSでのクライアント証明書認証

Gléasで発行したクライアント証明書を使って、Office 365(ブラウザ/ネイティブアプリ)へのログインに、Active Directoryフェデレーションサービス(AD FS)での電子証明書認証の動作確認を行いました。

設定手順PDF (2.4MB)

Office 365とADFSでのクライアント証明書認証

Gléasで発行されたクライアント証明書を、AD FSとWeb Application Proxy(WAP) で検証できるようにするため、Gléasのルート証明書を「信頼されたルート証明機関」として登録しておきます。続いて、AD FSとWAPにGléasで発行したサーバ証明書を設定します。

Gléasからクライアント証明書をインポートしたWindows、macOS、Androidで、ブラウザ/ネイティブアプリを使ってOffice 365へアクセスします。Office 365は認証をAD FSに委任します。

AD FSのログイン画面でActive Directoryのパスワードを入力します。続いて、クライアント証明書の提示を求められ、Gléasからインポートしたクライアント証明書を提示します。

証明書に記載されたCRL(Certificate Revocation List:証明書失効リスト)と、AD FSに登録されたGléasのルート証明書によって、AD FSは証明書の有効性を確認します。有効な証明書が提示されると、Office 365へログインできます。

Active Directoryのパスワード(知識)とクライアント証明書(保持)による二要素認証となります。

iOSではGléasからインポートしたクライアント証明書に加えて、iOSアプリ「Microsoft Authenticator」を使います。

Safari/ネイティブアプリを使ってOffice 365へアクセスすると、Microsoft Authenticatorが起動し、Active Directoryのパスワードを要求されます。続いて、バックグラウンドで証明書認証が自動で行われ、Office 365へログインします。Windowsなど他のクライアントと同様、AD FSではCRLとGléasのルート証明書による、クライアント証明書の有効性確認が行われています。

今回の検証でOffice 365へアクセスできるデバイスを、クライアント証明書認証によって限定できることが確認できました。既存のWindowsサーバを活かしながら、iOS、macOS、AndroidでもOffice 365に証明書認証を導入したいと考える方にお勧めのソリューションです。

なお、AD FSはSAMLの認証サーバとなることができるため、Office 365以外のSAML対応クラウドサービスを含めたシングルサインオンの環境を構築できます。

関連するコンテンツ

関連ニュース