[Q]
Azure Active Directory シームレス シングル サインオン (Azure AD シームレス SSO) では、ユーザーが企業ネットワークに接続される会社のデバイスを使用するときに、自動的にサインインを行う仕組みと理解しています。
https://docs.microsoft.com/ja-jp/azure/active-directory/hybrid/how-to-connect-sso-how-it-works
企業ネットワークに接続されていないリモートからアクセスする場合、ADFSでいうWAPサーバは存在しませんのでSSOが出来ない(ADサーバと通信ができない)、つまりSP(サービスプロバイダー)へのアクセスはIDとパスワードが必要になりますか?
もしくはパススルー認証であればリモートからもAzure AD シームレスSSOが可能でしょうか?
[A]
はい、ご認識いただいております通り、デバイスが企業のネットワークに接続されていないなど、オンプレ AD の DC サーバーとの通信ができていない場合、ユーザーはIDとパスワードの入力が求められます。
会社のドメインに参加した状態のデバイスから Azure 各サービスにアクセスすることで、シームレス SSO が可能となります。
尚、シームレス SSO をご利用いただくためには、オンプレADの DC サーバーとの通信ができている環境で、ドメイン参加している PC にサインインしている必要がございます。
理由としましては、参考情報にあります社技術ブログにも記載がございます通り、シームレス SSO では認証方式として、「クライアントからオンプレ AD の DCサーバーへの Kerberos 認証」 を用いるためです。
したがって、会社のドメインに参加済みの PC であっても、社内の AD と通信できない場合は、シームレス SSO は機能いたしません。
又、「パスワード ハッシュ同期+sSSO」 あるいは、「パススルー認証+sSSO」どちらの場合も、会社のドメインに参加済みの PC にサインインしているかつ、社内の AD と通信できる環境である必要がございます。
注意点として、パススルー認証の場合のパスワードはADサーバ側にあるためオンプレ側が被災しADが障害となると、SSOはおろかID/パスワードですらサービスにアクセスができなります。
パススルー認証においても同様に、ユーザーはドメイン参加しているデバイスにサインインしている必要がございます。
[参考情報]
タイトル:Azure AD Connect で実現するシングル サインオン | Japan Azure Identity Support Blog
URL: https://jpazureid.github.io/blog/azure-active-directory-connect/seamless-sso/
-------- 該当箇所抜粋 ----------
sSSO 認証方式のユーザーの認証は最終的に [クライアントからオンプレ AD の DC サーバーへの kerberos 認証] になるため、sSSO 認証が行えるのは [オンプレ AD ドメインに参加しているクライアントに AD ユーザーでログオン] した状態を前提としています。
-------- 該当箇所抜粋 ----------
# 詳細な仕組みにつきましては、下記の弊社公開情報も併せて参考いただけますと幸いです。
Azure AD Connect:シームレス シングル サインオン - しくみ | Microsoft Docs
[更新日]
202107