none
Office365+ADFSでのWAPの必須の有無 RRS feed

  • 質問

  • Office365でADFSで認証連携を行うことを想定しています。

    エンドユーザーは社内からOutlook2016を利用してメールを使い、社外からのOffice365へのアクセスを禁止します。
    つまり、社内からのみOutlook2016でメールを利用します。

    その際、WAPの構築は必要でしょうか?
    WAPは社外のネットワークにいるユーザーがOffice365にアクセスする際に必要という認識なので、必要ないと考えています。
    必要であれば、どのような機能を実現するためWAPが必要なのかご教授いただけますでしょうか?

    よろしくお願いいたします。

    2017年11月30日 8:57

すべての返信

  • Kazuhiro__さん
    こんにちは。

    フェデレーション ID モデルの認証フローを考えた場合、ブラウザからの接続は WAP を通さずに認証が完結するかと思いますが、Outlook などからアクセスする場合、Office 365 側から AD FS を見に行く動きがあるので、基本的には WAP が必要なのではないかと思います。

    AD FS によるシングルサインオン環境構築ステップバイステップガイド
    https://www.microsoft.com/ja-jp/download/confirmation.aspx?id=28716
    P11~ 
    -------
    3.3 その他のアクセス(社内ユーザー)
    【Exchange Online (POP/IMAP/ActiveSync/Outlook/EWS)の場合】
    ①ユーザーが Office 365 にアクセス(AD の認証情報が保存されていなければ認証画面が表示)
    ②MFG にリダイレクト先の AD FS の URL を確認
    ③社外の DNS サーバーを参照し、AD FS プロキシに接続、AD の認証情報を送信
    ④AD FS に接続しログオン トークンを要求
    --------

    この場合の解決策として現実的ではないかもしれませんが、ドメイン ネットワーク内の AD FS をインターネットに公開すれば、WAP は必要ないかもしれませんね。
    あるいは、ちょっと想像の範囲になるのですが、Office 2016 が先進認証に対応しているので、ブラウザと同じような認証フローとなって WAP がなくても Office 365 との認証フローが完結する、といった動きになるかもしれないですね。
    先進認証の仕様については以下のブログ記事が参考になると思います。

    http://azuread.net/2016/07/08/office-365-proplus%E3%81%AE%E5%85%88%E9%80%B2%E8%AA%8D%E8%A8%BC/
    ----------
    ADFSサーバーのログを見ると、Outlookアプリケーションによるトークン発行時には、x-ms-endpoint-absolute-pathクレームに/adfs/services/trust/2005/usernamemixedではなく、ブラウザーアクセスの時と同じ/adfs/ls/wiaが割り当てられていることが分かります。
    ----------

    以上私見でしたが、いかがでしょうか。


    2017年12月17日 3:53