Office 365

Office 365 での多要素認証

Office 365 認証フェデレーション

Office 365を業務で利用する場合、メールやドキュメントファイルへのアクセスをインターネット経由でおこなうことになります。
そのため、Office 365 では Microsoft Authenticator と呼ばれる無償のモバイルアプリによる多要素認証が可能となっていますが、Microsoft Authenticator アプリによる認証はユーザにとっては煩わしい一面もあります。

また Office 365 以外のビジネス向けクラウドサービスでも二要素認証が必要となることを考えて、SAML (Security Assertion Markup Language) と呼ばれる認証プロトコルに対応した認証サーバでクラウドサービスの認証を一元化するケースが増えています。

Office 365へのSAMLによるシングルサインオン

SAML 認証サーバ (IDP:Identity Provider) を使うメリットは、G Suite、Box、Salesforce、Dropbox、サイボウズなど他の SaaS と認証を統一できる点です。
Office 365 をはじめとするクラウドサービスは、SAML において SP (Service Provider) と呼ばれます。

ビジネスユースの主要なクラウドサービスは SAML に対応しているため、SP の追加や変更があった場合でも SAML の認証全体に影響はありません。

また、SAML の IDP で認証されたユーザは、SAML で連携する別のクラウドサービスへシングルサインオンができるため、ユーザにログインの手間を減らすメリットがあります。

図の Assertion に含まれる有効期間内であれば、ユーザは IDP と連携する SP へシングルサインオンができます。
複数の SaaS を使う場合は個別のサービスごとに認証手段を用意するより、SAML の認証サーバに統一することにメリットが出るでしょう。

一方で、IDP は複数の SaaS へのゲートウェイとなるため、これまで以上に強固なセキュリティが求められます。

Office 365での証明書認証

個人認証ではなくデバイス認証

Windows Server の Active Directory Federation Service (AD FS) や、シングルサインオンサービス (SSO / IDaaS とも呼ばれる)、SSL-VPN アプライアンスなどの多くが SAML に対応しており、認証サーバとなることができます。
IDP によっては認証手段として、スマホ認証、マトリクス認証、トークン型のワンタイムパスワード(OTP)認証などもサポートしています。

その中で電子証明書認証を採用する理由の一つが、クラウドサービスを利用できるデバイスを限定できることです。
スマホアプリやハードウェアトークンの保持によって個人は特定できますが、実際にクラウドサービスを利用する端末は限定できません。

電子証明書はデバイスへインポートする際の設定によって、証明書の秘密鍵のエクスポート、つまり他のデバイスのへの証明書コピーを防ぐことができます。
Office 365 を利用できるデバイスを限定したい場合は、証明書認証を採用すべきでしょう。

認証局に Gléas を採用する理由

Office 365 を利用できるデバイスを限定する目的で証明書認証を採用する場合、電子証明書を発行する認証局には、管理下のデバイスだけに証明書を配布する仕組みが求められます。

Gléas では電子証明書の配布は、デバイスのウェブブラウザからユーザ用ウェブ画面にアクセスし、直接端末に証明書をインポートする方式が最も採用されています。
証明書ファイルはダウンロードフォルダなどに残らず、証明書の秘密鍵は自動的に「エクスポート不可」として証明書ストアに格納されるため、他の端末にコピーされる恐れがないためです。

「インポートワンス機能」を使えば、1枚の証明書は1度インポートされると、再びユーザ用ウェブ画面にアクセスしても、インポートが出来ない状態になるため、証明書認証が使える端末を1台に限定できます。詳しくは証明書配布機能ページをご参照ください。

また、Gléas はクライアント証明書だけでなく、サーバ証明書、コンピュータ証明書の発行にも対応しています。Gléas で発行した電子証明書は、Office 365 だけでなく、無線LANやリモートアクセス/VPN での認証に1枚の証明書で対応できます。

Gléas との連携を確認した SAML IDP は下記のとおりです。

Active Directory Federation Service (AD FS) (マイクロソフト)
Pulse Connect Secure (パルスセキュア)
BIG-IP APM (F5ネットワークス)
KAMOME SSO (かもめエンジニアリング)
SafeNet Trusted Access (Thales)
SeciossLink (セシオス)
Workspace ONE Access (ヴイエムウェア)
PingFederate (Ping Identity)

事例

関連ニュース