【Azure】Azure AD Proxy インストール手順

Azure
スポンサーリンク

今回は、Microsoft Azureの機能の一つであるAzure Active Directoryにアプリケーションプロキシを展開する手順です。
Azure AD ProxyはオンプレにあるWebアプリケーションに対し、SSO(Single Sign On)を提供するプロキシで、従来であればローカルにあるActive Directoryで機能提供していたものをクラウド化してAzure ADに対応させたものとでもいうのでしょう。

期待する目標

本手順で期待する目標は以下の通りです。

  • アプリケーションプロキシを作成できる
  • Windows Serverにアプリケーションプロキシコネクタをインストールできる
  • アプリケーションプロキシを構成できる

Azure AD アプリケーションプロキシとは

Azure Active Directory アプリケーション プロキシは、オンプレミス Web アプリケーションへのセキュリティ保護されたリモート アクセスを提供します。 Azure AD にシングル サインオンした後、ユーザーは、外部の URL または内部のアプリケーション ポータルから、クラウド アプリケーションとオンプレミス アプリケーションの両方にアクセスできます。 たとえば、アプリケーション プロキシでは、リモート デスクトップ、SharePoint、Teams、Tableau、Qlik、および基幹業務 (LOB) アプリケーションへのリモート アクセスとシングル サインオンを提供できます。

アプリケーション プロキシとは、ユーザーがリモート クライアントからオンプレミス Web アプリケーションにアクセスできるようにする Azure AD の機能です。 アプリケーション プロキシには、クラウドで実行されるアプリケーション プロキシ サービスと、オンプレミス サーバーで実行されるアプリケーション プロキシ コネクタの両方が含まれています。 Azure AD、アプリケーション プロキシ サービス、およびアプリケーション プロキシ コネクタは連携して、Azure AD から Web アプリケーションにユーザーのシングル サインオン トークンを安全に渡します。

Azure AD アプリケーション プロキシからのオンプレミス アプリケーションへのリモート アクセス

要は、Azure ADを使って、オンプレにあるWebアプリに対し、SSOでログインができる機能を提供するサービスという感じです。

前提条件

本手順で使用する環境は以下の通りです。

【Azure】

  • Microsoft Azureのアカウントを所有していること
  • Azure Active Directoryを使用していること
  • Azure Active Directory Premium P2のライセンスを所有していること

【オンプレ】

  • Microsoft Azureへアクセス可能なWindows Serverを保有していること

【サーバスペック】

  • CPU : 2vCPU
  • MEM : 4GB
  • DISK : 60GB
  • OS : Windows Server 2022

アプリケーションプロキシの作成

Azure Active Directoryの選択
Azure Active Directoryの選択

Azure Portalより、検索欄から[Azure Active Directory]を検索し、[Azure Active Directory]を押下します。

アプリケーションプロキシの選択
アプリケーションプロキシの選択

[Azure Active Directory]-[管理]-[アプリケーションプロキシ]を押下します。

新しいコネクタグループの選択
新しいコネクタグループの選択

[アプリケーションプロキシ]より、[新しいコネクタグループ]を押下します。

新しいコネクタグループの作成
新しいコネクタグループの作成

[新しいコネクタグループ]より、以下の設定を行います。

  • 名前 : 任意のコネクタグループ名を入力
  • コネクタ : 現時点では未選択
  • 特定の国/地域に最適化 : アジア (任意)

設定が完了したら、[作成]を押下します。

コネクタグループの作成確認
コネクタグループの作成確認

[アプリケーションプロキシ]-[コネクタ]より、作成したコネクタグループが存在していることを確認します。
以上で、アプリケーションプロキシの作成は完了です。

アプリケーションプロキシコネクタサービスのインストール

アプリケーションプロキシの作成が完了したら、コネクタサービスのインストールを行っていきます。
このコネクタサービスをオンプレにあるWindows ServerにインストールすることでオンプレにあるWebサービスにSSOを提供することができるようになります。

コネクタサービスのダウンロード
コネクタサービスのダウンロード

[アプリケーションプロキシ]より、[コネクタサービスのダウンロード]を選択します。
[アプリケーションプロキシコネクタのダウンロード]より、[規約に同意してダウンロード]を押下します。

ダウンロードしたインストーラをWindows Serverに移動させます。

IEセキュリティ強化の構成
IEセキュリティ強化の構成

Windows Serverのサーバマネージャより、[ローカルサーバ]-[IEセキュリティ強化の構成]の設定を押下します。

IEセキュリティ強化の構成設定
IEセキュリティ強化の構成設定

[IEセキュリティ強化の構成]より、以下の設定を行います。

  • Administratorsグループ : オフ
  • Usersグループ : オフ

この設定に関しては、コネクタサービスのインストール時にIEが開き認証情報を入力するため、事前に使用するユーザの種別によって、IEのセキュリティ強化の構成をオフにしておきます。
インストール完了後は、元の構成に戻しても問題ありません。
設定が完了したら、[OK]を押下します。

インストーラの実行
インストーラの実行

ダウンロードしたコネクタのインストーラを実行します。

ライセンスへの同意
ライセンスへの同意

[Microsoft Azure Active Directory Application Proxy Connector]より、ライセンスを一読し同意できる場合は、[I agree to the license terms and conditions]にチェックを入れ、[Install]を押下します。

インストール中
インストール中

インストールが開始されるので、待機します。

Azureへのログイン
Azureへのログイン

インストール中にAzureへのログインを求められるため、Azureアカウントでログインします。

インストールの完了
インストールの完了

Azureへのログインが完了すると、インストールも完了するため、[Close]を押下します。

インストールされるプログラム
インストールされるプログラム

コネクタをインストールすると、以下のプログラムが追加されます。

  • Microsoft Azure Active Directory Application Proxy Connector
  • Microsoft Azure AD Application Proxy Connector Updater
サービス一覧
サービス一覧

Windows Serverのサービス一覧より、[Microsoft AAD Application Proxy Connector]のサービスが[実行中]となっており、[スタートアップの種類]が[自動(遅延開始)]となっていることを確認します。
以上で、アプリケーションプロキシコネクタサービスのインストールは完了です。

コネクタグループの設定

Windows Serverにコネクタのインストールが完了したら、作成したアプリケーションプロキシにコネクタの設定を行っていきます。

コネクタの設定編集
コネクタの設定編集

[アプリケーションプロキシ]より、作成したコネクタグループを選択します。

コネクタの追加
コネクタの追加

作成したコネクタグループの編集より、[コネクタ]を選択し、インストールしたコネクタのホスト名にチェックを入れます。

コネクタグループの保存
コネクタグループの保存

作成したコネクタグループで[コネクタ]が設定されていることを確認し、[保存]を押下します。

コネクタの状態確認
コネクタの状態確認

[アプリケーションプロキシ]より、作成したコネクタグループのコネクタの状態が[アクティブ]となっていることを確認します。
また、[コネクタの詳細]より、[コンピュータ名]や[グローバルIP]が正常に取得できていることを確認します。
以上で、Azure Active Directory アプリケーションプロキシの設定は完了です。

まとめ

今回は、Azure ADを使って、オンプレのWebアプリにSSOを行うためのアプリケーションプロキシを作成しました。
Windows Server上にインストールしたコネクタを経由して、オンプレのWebアプリに安全にSSOをすることができるようになりました。
次回以降は、Azure ADからオンプレのWebアプリに対し、SSOを行ってみたいと思います。

おまけ

本ブログではVMwareやWindows、Linuxのインストール手順等も公開しております。
インフラエンジニアとして有益な記事や無益なコンテンツも作成しておりますので、通勤時間や休憩時間、休日のスキマ時間等に合わせて読んでいただけると幸いです。
また、Youtubeで解説動画も鋭意作成中です。本ブログで記事にしているものも動画にしようと思っておりますので、よろしくお願いいたします。
willserverのnoteも開設したのでフォローお願いします。

コメント

タイトルとURLをコピーしました