今回は、Microsoft Azureの機能の一つであるAzure Active Directoryにアプリケーションプロキシを展開する手順です。
Azure AD ProxyはオンプレにあるWebアプリケーションに対し、SSO(Single Sign On)を提供するプロキシで、従来であればローカルにあるActive Directoryで機能提供していたものをクラウド化してAzure ADに対応させたものとでもいうのでしょう。
期待する目標
本手順で期待する目標は以下の通りです。
- アプリケーションプロキシを作成できる
- Windows Serverにアプリケーションプロキシコネクタをインストールできる
- アプリケーションプロキシを構成できる
Azure AD アプリケーションプロキシとは
Azure Active Directory アプリケーション プロキシは、オンプレミス Web アプリケーションへのセキュリティ保護されたリモート アクセスを提供します。 Azure AD にシングル サインオンした後、ユーザーは、外部の URL または内部のアプリケーション ポータルから、クラウド アプリケーションとオンプレミス アプリケーションの両方にアクセスできます。 たとえば、アプリケーション プロキシでは、リモート デスクトップ、SharePoint、Teams、Tableau、Qlik、および基幹業務 (LOB) アプリケーションへのリモート アクセスとシングル サインオンを提供できます。
アプリケーション プロキシとは、ユーザーがリモート クライアントからオンプレミス Web アプリケーションにアクセスできるようにする Azure AD の機能です。 アプリケーション プロキシには、クラウドで実行されるアプリケーション プロキシ サービスと、オンプレミス サーバーで実行されるアプリケーション プロキシ コネクタの両方が含まれています。 Azure AD、アプリケーション プロキシ サービス、およびアプリケーション プロキシ コネクタは連携して、Azure AD から Web アプリケーションにユーザーのシングル サインオン トークンを安全に渡します。
Azure AD アプリケーション プロキシからのオンプレミス アプリケーションへのリモート アクセス
要は、Azure ADを使って、オンプレにあるWebアプリに対し、SSOでログインができる機能を提供するサービスという感じです。
前提条件
本手順で使用する環境は以下の通りです。
【Azure】
- Microsoft Azureのアカウントを所有していること
- Azure Active Directoryを使用していること
- Azure Active Directory Premium P2のライセンスを所有していること
【オンプレ】
- Microsoft Azureへアクセス可能なWindows Serverを保有していること
【サーバスペック】
- CPU : 2vCPU
- MEM : 4GB
- DISK : 60GB
- OS : Windows Server 2022
アプリケーションプロキシの作成
Azure Portalより、検索欄から[Azure Active Directory]を検索し、[Azure Active Directory]を押下します。
[Azure Active Directory]-[管理]-[アプリケーションプロキシ]を押下します。
[アプリケーションプロキシ]より、[新しいコネクタグループ]を押下します。
[新しいコネクタグループ]より、以下の設定を行います。
- 名前 : 任意のコネクタグループ名を入力
- コネクタ : 現時点では未選択
- 特定の国/地域に最適化 : アジア (任意)
設定が完了したら、[作成]を押下します。
[アプリケーションプロキシ]-[コネクタ]より、作成したコネクタグループが存在していることを確認します。
以上で、アプリケーションプロキシの作成は完了です。
アプリケーションプロキシコネクタサービスのインストール
アプリケーションプロキシの作成が完了したら、コネクタサービスのインストールを行っていきます。
このコネクタサービスをオンプレにあるWindows ServerにインストールすることでオンプレにあるWebサービスにSSOを提供することができるようになります。
[アプリケーションプロキシ]より、[コネクタサービスのダウンロード]を選択します。
[アプリケーションプロキシコネクタのダウンロード]より、[規約に同意してダウンロード]を押下します。
ダウンロードしたインストーラをWindows Serverに移動させます。
Windows Serverのサーバマネージャより、[ローカルサーバ]-[IEセキュリティ強化の構成]の設定を押下します。
[IEセキュリティ強化の構成]より、以下の設定を行います。
- Administratorsグループ : オフ
- Usersグループ : オフ
この設定に関しては、コネクタサービスのインストール時にIEが開き認証情報を入力するため、事前に使用するユーザの種別によって、IEのセキュリティ強化の構成をオフにしておきます。
インストール完了後は、元の構成に戻しても問題ありません。
設定が完了したら、[OK]を押下します。
ダウンロードしたコネクタのインストーラを実行します。
[Microsoft Azure Active Directory Application Proxy Connector]より、ライセンスを一読し同意できる場合は、[I agree to the license terms and conditions]にチェックを入れ、[Install]を押下します。
インストールが開始されるので、待機します。
インストール中にAzureへのログインを求められるため、Azureアカウントでログインします。
Azureへのログインが完了すると、インストールも完了するため、[Close]を押下します。
コネクタをインストールすると、以下のプログラムが追加されます。
- Microsoft Azure Active Directory Application Proxy Connector
- Microsoft Azure AD Application Proxy Connector Updater
Windows Serverのサービス一覧より、[Microsoft AAD Application Proxy Connector]のサービスが[実行中]となっており、[スタートアップの種類]が[自動(遅延開始)]となっていることを確認します。
以上で、アプリケーションプロキシコネクタサービスのインストールは完了です。
コネクタグループの設定
Windows Serverにコネクタのインストールが完了したら、作成したアプリケーションプロキシにコネクタの設定を行っていきます。
[アプリケーションプロキシ]より、作成したコネクタグループを選択します。
作成したコネクタグループの編集より、[コネクタ]を選択し、インストールしたコネクタのホスト名にチェックを入れます。
作成したコネクタグループで[コネクタ]が設定されていることを確認し、[保存]を押下します。
[アプリケーションプロキシ]より、作成したコネクタグループのコネクタの状態が[アクティブ]となっていることを確認します。
また、[コネクタの詳細]より、[コンピュータ名]や[グローバルIP]が正常に取得できていることを確認します。
以上で、Azure Active Directory アプリケーションプロキシの設定は完了です。
まとめ
今回は、Azure ADを使って、オンプレのWebアプリにSSOを行うためのアプリケーションプロキシを作成しました。
Windows Server上にインストールしたコネクタを経由して、オンプレのWebアプリに安全にSSOをすることができるようになりました。
次回以降は、Azure ADからオンプレのWebアプリに対し、SSOを行ってみたいと思います。
おまけ
本ブログではVMwareやWindows、Linuxのインストール手順等も公開しております。
インフラエンジニアとして有益な記事や無益なコンテンツも作成しておりますので、通勤時間や休憩時間、休日のスキマ時間等に合わせて読んでいただけると幸いです。
また、Youtubeで解説動画も鋭意作成中です。本ブログで記事にしているものも動画にしようと思っておりますので、よろしくお願いいたします。
willserverのnoteも開設したのでフォローお願いします。
コメント