はじめに
クラウドインテグレーション部の峰松優太です。
本シリーズ記事では、PassLogic を利用して以下の 2 つを実現します。
- SAML 認証連携による PassLogic 認証を利用した Microsoft 365 へのログイン
- PassLogic for Windows Desktop による PassLogic 認証を利用した PC へのログオンおよび Microsoft 365 へのシームレスサインオン
PassLogic とは デバイスレス・ワンタイムパスワード を用いた認証プラットホームであり、パスロジ株式会社より提供されてます。
PassLogic 公式より、以下 2 つの記事が公開されています。
- Office 365 と PassLogic を SAML 連携 (※ Office 365 は Microsoft 365 の旧称です)
- Windows ログオン シームレスサインオン
これらのシステムを実際に構築し、詰まった点や考慮すべきだと感じた点について紹介します。
なお、今回の全構築作業を以下 3 フェーズに分割しています。
- フェーズ 1 - ユーザ連携編
- フェーズ 2 - SAML 認証編
- フェーズ 3 - シームレスサインオン編
本記事では、フェーズ 1 について記載します。
フェーズ 1 で実装するのはこちらです。
- PassLogic 認証サーバ構築
- AD サーバ構築
- AD ユーザを PassLogic に連携
前提
- 環境はすべて Azure に構築しています。
- ネットワーク要件に関しては特に言及しておりません。
- 本環境にて使用するドメインを Microsoft Entra ID にカスタムドメインとして登録しておく必要があります。
【カスタムドメイン】 pltest.***
PassLogic 認証サーバ構築
インストールガイドに従い、PassLogic 認証サーバを立ち上げます。
インストールガイドは PassLogic を購入すると入手できます。
環境
- PassLogic Enterprise Edition Ver.5.0.0
- OS: Red Hat Enterprise Linux 8.6
- 認証サーバ1台構成(冗長構成なし)
立ち上げ後、管理ユーザで PassLogic の管理ツールにアクセスしログインします。
以上で PassLogic 認証サーバの立ち上げが完了しました。
Active Directory サーバ構築
Microsoft 公式ドキュメント に従って Active Directory (AD) を構築します。
環境
- OS: Windows Server 2022
- ルートドメイン名: pltest.***
- NetBIOS 名: PLTEST
ドメインコントローラへ昇格後、PassLogic 連携用に以下のユーザを作成しました。
| ユーザ | 詳細 |
|---|---|
| yuta minematsu | OU "PassLogic" に所属 |
| test001 | OU "PassLogic" に所属 |
| plmanager | 連携用バインドユーザ AD の読み取り権限を付与 |
PassLogic と AD の連携
PassLogic 認証を利用したい AD ユーザを PassLogic へ連携します。
以下の 2 つの連携方法があり、今回は「LDAP 認証連携」を使用しました。
- LDAP 認証連携: AD サーバによる認証を行い、認証が成功した AD ユーザを同期します。
- LDAP ID 同期: AD サーバによる認証は行わず、対象の AD ユーザを一括で同期します。
PassLogic ドメイン設定
PassLogic 内のすべてのユーザはドメインを適用して管理されます。
(デフォルトでは local というドメインが用意されています。)
後のフェーズで登場する PassLogic for Windows Desktop を AD ユーザで利用するためには、PassLogic ドメインを AD ドメインの NetBIOS 名に設定する必要があります。
したがって、今回は「PLTEST」という PassLogic ドメインを新規作成してユーザ連携を行います。
LDAP 認証連携
PassLogic の管理画面にて、PLTEST ドメインの LDAP 認証連携設定を行います。
AD サーバ接続設定
| 項目 | 値/説明 |
|---|---|
| LDAP | Active Directory |
| サーバ 1 | AD サーバの IP アドレス |
| ポート番号 | 389 |
| バインド DN | LDAP Search 権限をもつ AD ユーザの DN (= plmanager) |
| バインドパスワード | バインド DN で指定したユーザの AD パスワード |
| ツリートップの DN | 同期対象の DN (= OU "PassLogic") |
| 検索フィルタ | 「ツリートップの DN」内の同期対象ユーザをフィルタリング |
| Active Directory ドメイン名 | pltest.*** |
| デフォルトポリシー | 同期対象ユーザにデフォルトで適用されるポリシー |
※ LDAP 連携認証設定後、ユーザの初回ログイン時に LDAP 属性値マッピング定義にて、デフォルト値に指定したポリシーが適用されます。以降のログインでは、このデフォルト値のポリシーを変更しても、既に作成済みのユーザには反映されないためご注意ください。
LDAP 属性値マッピング定義
PassLogic ユーザに連携する AD の属性 を定義します。
- ユーザ ID: samaccountname
- 備考: objectGUID
※ Microsoft Entra ID との連携においては objectGUID を指定する必要があります。
参考: 【属性エディタ】Active DirectoryのDNやSID等の属性を一覧表示,取得する方法
以上で AD と PassLogic の同期設定が完了しました。
確認画面の末尾に同期対象ユーザが表示されます。今回は検索フィルタにて ym (yuta minematsu) を指定したため、このユーザのみ同期されます。
同期確認
連携後、ユーザログイン画面では AD パスワードが要求されます。
AD 認証が成功したユーザは PassLogic に同期されます。
続いて PassLogic ワンタイムパスワードのシークレットパターンを変更するよう要求されます。
以後のログインでは変更したシークレットパターンに従ってパスワードを入力します。
ログを確認すると、AD 認証成功後にユーザが作成されていることが分かります。
※ LDAP ID 同期を使用する場合、指定したタイミングで対象の AD ユーザが一括同期されます。(AD 認証は必要ありません)
以上で、AD と PassLogic の連携が完了しました。
まとめ
本記事では、PassLogic 認証サーバ および AD サーバの構築と、両サーバ間でのユーザ連携を実施しました。
フェーズ 1 の要点は以下です。
- PassLogic ドメインを AD ドメインの NetBIOS 名に設定する
- LDAP 認証連携のマッピング設定にて ObjectGUID 属性を指定する
- LDAP 認証連携と LDAP ID 同期では ユーザの同期方法が異なる
最後までお読みいただきありがとうございました。 次回の記事をお待ちください。
次回
- Microsoft Entra Connect による AD と Entra ID の同期
- SAML 認証連携
引用・参考
PassLogic Enterprise Edition Ver.5.0.0 インストールガイド (PassLogic 製品に同梱)
Office 365 と PassLogic を SAML 連携
【属性エディタ】Active DirectoryのDNやSID等の属性を一覧表示,取得する方法
