フォーラム記事

Office 365 でのスマート リンクの使用

テクニカル レベル : 上級

概要
この記事は以下の内容で 2011 年 11 月 13 日に公開された記事を再掲載したものとなります。

Office 365 でのスマート リンクの使用
https://community.office365.com/ja-jp/w/sso/851
----

スマート リンクとは

通常、お客様が Office 365 へのシングル サインオン (ID フェデレーション ) をセットアップすると、 Web ブラウザー アプリケーションが使用する認証メカニズムでは WS-Federation パッシブ プロファイルが使用されます。
このメカニズムの中核となるのは、 " ホーム レルム ディスカバリ " と呼ばれるプロセスです。このプロセスで、ユーザーを認証する必要があるのか、またはユーザーを社内 ID プロバイダー ( 権限のある認証プロバイダー ) にリダイレクトする必要があるのかをログイン サーバーが判断できるよう、エンド ユーザーが Office 365 のログイン サーバーに情報を提供する必要があります。フェデレーションの場合、このリダイレクトで次の処理を実行する URL が構築されます。

  1. ブラウザーを権限のある AD FS 2.0 サーバーのパッシブ ログイン エンドポイントに送信します。
  2. AD FS 2.0 サーバーによって発行された SAML トークンの投稿先 (Office 365 ID プラットフォーム ) をエンコードします。
  3. ユーザーがアクセスしようとした証明書利用者サービス (Exchange Online や Office 365 ポータルの URL など ) をエンコードします。

この URL は、一般的にスマート リンクまたは ID プロバイダー開始のサインイン リンクと呼ばれています。


詳細

スマート リンクを検討する理由

組織では、スマート リンクにマッピングされるバニティ URL を作成することで、スマート リンクを社内に展開し、次のことを実現できます。

  1. Office 365 サービスにアクセスする際、組織のユーザーは覚えやすいバニティ URL を使用できるため、 IT ヘルプデスクへのサポート コールを軽減できます。また、これらのバニティ URL は、グローバル ポリシー設定の一部として、ユーザーの IE のお気に入りに書き込むことができます。
  2. Office 365 サービスにアクセスする際にエンド ユーザー エクスペリエンスが向上し、エンド ユーザーの顧客満足度が向上します。 
    1. Office 365 サービスに対する認証が高速化 (リダイレクト数を 2 つ削減)
    2. ユーザーによるホーム レルム ディスカバリ サービスの使用が不要 

この記事では、組織でユーザー向けにスマート リンクを作成および展開する方法について説明します。 

スマート リンクを組織に展開する方法

対象となる Office 365 サービスにスマート リンクを作成する方法を理解したら、自社運用の Web サーバーに 302 リダイレクト サービスを展開できます。ここでは、 Office 365 に既にシングル サインオン (ID フェデレーション ) をセットアップしており、シングル サインオンが正常に動作することを確認していることを前提としています。 

スマート リンクの作成 
2016 年 6 月 時点で確認した限りでは、以下のURL を編集することにより、スマート リンクを形成することが可能です。

<Office 365 ポータル>
https://login.microsoftonline.com/login.srf?wa=wsignin1.0&wreply=https%3a%2f%2fportal.office.com%2flanding.aspx%3ftarget%3d%252fdefault.aspx&whr=<フェデレーションドメイン名>

<Ootw>
https://login.microsoftonline.com/login.srf?wa=wsignin1.0&wreply=https%3a%2f%2foutlook.office365.com%2fowa%2f&whr=<フェデレーションドメイン名>

なお、上記手順にて作成したスマート リンクが正常に動作しない場合には、HTTP トレース ツールをオンにして、目的のサービスに対して認証を行います。

  1. IE を開いて、 HTTP トレースをオンにします。 
  2. サービス (https://portal.office.com/など ) にアクセスしてサインインし、スマート リンクを作成するサービスに対してフェデレーション認証を実行します。
  3. HTTP トレース ツールから、 URL のリスト内で AD FS 2.0 アドレスが含まれているデータの最後の行を検索します (https://<AD FS 2.0 サーバーのパブリック URL>/adfs/ls の形式 ) 。 
  4. この行をコピーし、メモ帳や同様のエディターに貼り付けます。次のような内容が表示されます ( 例として Contoso と Office 365 ポータルを使用 ) 。 
    1. https://sts.contoso.com/adfs/ls/?lc=1041&client-request-id=7d0ccec0-b800-4cd5-a6b1-529b2e610862&username=alt01%40nttfs04.xyz&wa=wsignin1.0&wtrealm=urn%3afederation%3aMicrosoftOnline&wctx=estsredirect%3d2%26estsrequest%3drQIIAbNSzigpKSi20tcvyC8qSczRy09Ly0xO1UvOz9XLL0rPTAGxioS4BA6c46ll2HHVZ9nGoNl6iRxJqxjVcOrUz0nMS8nMS9dLLC6ouMDI2MXEYmhgYriJidXX2dfJ8wTThLNyt5gE_YvSPVPCi91SU1KLEksy8_MeMfGGFqcW-eflVIbkZ6fmTWLmy8lPz8yLLy5Ki0_LyS8HCgCNL0hMLokvyUzOTi3ZxaxiaZ6aYpKWbKxrYJJormuSbGKmm2hikKSblGRiZGhkYW5hYmB0gGVDyAUWgR8sjItYgX5p2VZytq3ezqnPc4F_qHq5xClW_dBAowrT8LCosrT8sBL3jDy_DG9vAzNDbacUs1TDqjJnx8gqEyP9nBIjt3RbIyvDXZy2xPneviSxKD21xFbVKC0lNS2xNKcELAwA0&popupui=
    2. これを編集して、"wa" QueryString パラメーターまでのすべての内容を削除します。スマート リンクの形式の詳細については、「参考情報 : スマート リンク URL テンプレート」を参照してください。
    3. https://sts.contoso.com/adfs/ls/?&wa=wsignin1.0&wtrealm=urn%3afederation%3aMicrosoftOnline&wctx=estsredirect%3d2%26estsrequest%3drQIIAbNSzigpKSi20tcvyC8qSczRy09Ly0xO1UvOz9XLL0rPTAGxioS4BA6c46ll2HHVZ9nGoNl6iRxJqxjVcOrUz0nMS8nMS9dLLC6ouMDI2MXEYmhgYriJidXX2dfJ8wTThLNyt5gE_YvSPVPCi91SU1KLEksy8_MeMfGGFqcW-eflVIbkZ6fmTWLmy8lPz8yLLy5Ki0_LyS8HCgCNL0hMLokvyUzOTi3ZxaxiaZ6aYpKWbKxrYJJormuSbGKmm2hikKSblGRiZGhkYW5hYmB0gGVDyAUWgR8sjItYgX5p2VZytq3ezqnPc4F_qHq5xClW_dBAowrT8LCosrT8sBL3jDy_DG9vAzNDbacUs1TDqjJnx8gqEyP9nBIjt3RbIyvDXZy2xPneviSxKD21xFbVKC0lNS2xNKcELAwA0&popupui=
  5. 編集した URL により、スマート リンクが形成されます。このスマート リンクを使用して、「スマート リンクの展開と検証」の手順に従って、最もシームレスなシングル サインオン方法でユーザーが Office 365 ポータルにアクセスするためのバニティ URL を作成します。

スマート リンクの展開と検証

スマート リンクを作成したら、組織のユーザーが使用するバニティ URL を作成してスマート リンクを展開する必要があります。上記の例では、 Office 365 ポータル (https://portal.office.com/) 用のスマート リンクを作成しました。ここでは、上記のスマート リンクにリダイレクト (302[1]) するバニティ URL を作成します。 

  1. ドメイン レジストラーに新しい A レコード (portal.contoso.com など ) を作成し、この A レコードがリダイレクト サービスをホスティングする IIS サーバーの IP アドレスを指すようにします。 
  2. IIS サーバーに新しい Web サイト (portal.contoso.com) を作成します。 
  3. 302 リダイレクト サービスを作成し、対象となるアドレスにスマート リンクを貼り付けます。 
  4. portal.contoso.com が企業ネットワークの内部および外部で正しい IP アドレスに解決されることをテストします。
  5. IE を開いて「http://portal.contoso.com/」と入力すると、 Office 365 ポータルに直接、シームレスにシングル サインオンできます。

参考情報: スマート リンク URL テンプレート

[AD_FS_2.0_WebLoginURL]?wa=wsignin1.0 &wtrealm=urn:federation:MicrosoftOnline &wctx=[Custom_Value] 

HTTP メッセージの値

説明
AD_FS_2.0_WebLoginURL ADFS パッシブ エンドポイントの URL です。通常、https://<AD_FS_2.0_サーバーのパブリック_URL>/adfs/ls のようになります。
例: https://sts.contoso.com/adfs/ls

QueryString パラメーターのセマンティクス

パラメーター 説明
wa=wsignin1.0 サインインの要求であることを示します。 
wtrealm= urn:federation:MicrosoftOnline トークンが Office 365 の ID システムによって要求されていることを示します。 
Wctx  この値は、 AD FS 2.0 サーバーによって発行される認証トークンと共に返される必要があります。通常、Wctx パラメーターにはユーザーがアクセスしようとしているリソースに関する情報が含まれます。 

Wctx パラメーターの値の作成は重要であるため、「スマート リンクの作成」で説明されているアプローチを使用することをお勧めします。 
________________________________________

[1] DNS CNAME レコードを使用すると、要求のあったサイトがアクセス先のサイトの証明書に示されている名前と一致しないことを示す証明書のポップアップがユーザーに表示されるため、 DNS CNAME レコードではなく 302 リダイレクト サービスを使用しています。 

Online Services Support Team_Microsoft

※ 本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。



 
フォーラム記事情報

表示回数: 2,782 最終更新日: 2018年5月24日 適用先: