【中編】ファイルサーバーのハイブリッド化とKerberos認証 ― シームレスSSOの仕組みを理解する

この記事の内容

  • オンプレミスのActive DirectoryとEntra ID(旧Azure AD)における認証方式の違いを解説します
  • シームレスSSOの仕組みと、KerberosチケットをクラウドSSO実現に活用する方法を紹介します
  • Entra Connect SyncでシームレスSSOを有効化する具体的な構成手順を説明します
  • グループポリシーによるブラウザのイントラネットゾーン設定方法を解説します
  • klistコマンドを使った動作確認の方法を紹介します

オンプレミスとクラウドの認証の違い

オンプレミス環境では、Active Directory(AD)によってユーザー認証が行われます。ユーザーがWindowsにログインすると、**TGT(Ticket Granting Ticket)**と呼ばれるKerberosチケットを取得します。このチケットを使って、ファイルサーバーやデータベースなどの各種サービスへアクセスできます。

一方、クラウド側、例えば Microsoft 365(M365)Dynamics 365 にアクセスする場合は、**Entra ID(旧Azure AD)**が認証基盤として機能します。通常の流れでは、ユーザーがWeb画面でIDとパスワードを入力し、多要素認証(MFA)を経てEntra IDからトークンを受け取り、そのトークンをもってクラウドサービスへアクセスします。

このように、オンプレミスは「Kerberosチケット」、クラウドは「トークンベース認証」という異なる仕組みを持っています。そこで登場するのが、両者を橋渡しする シームレスSSO です。

シームレスSSOとは ― Kerberosチケットでクラウドに入る仕組み

シームレスSSOは、オンプレミスでログインしたユーザーが再度パスワードを入力することなく、クラウドサービスにアクセスできるようにする仕組みです。

その鍵を握るのが Kerberosチケットの再利用です。Entra IDがKerberosチケットを受け取れるよう設定すると、ユーザーはオンプレミスで既に取得しているTGTを利用してクラウド認証をスキップできます。

これを構成する際に使うのが Azure AD Connect(現在のEntra Connect Sync) です。

構成手順:Entra ConnectでシームレスSSOを有効化する

1. Entra Connect Syncの設定

Entra Connect Syncの設定画面で「ユーザーサインイン方法」を選択します。「パスワードハッシュ同期」と「シングルサインオンを有効化」を選びます。

2. ドメイン管理者の資格情報を入力

Active Directoryフォレスト内に新しいコンピューターアカウントが自動的に作成されます。

3. 作成されるアカウント:ADSSOACC

このアカウントにはサービスプリンシパルネーム(SPN)が登録されます。SSOに関連するURLとして、以下のようなURLがSPNとして登録されます。

hhttttppss:://laoagdign..wmiincdroowsso.fnteotn.lnixn.en.ectom

この設定により、Entra IDはKerberosチケットを正しく認識し、トークンを発行できるようになります。

グループポリシーによる自動構成

SSOを成立させるためには、ブラウザ(主にInternet ExplorerやEdge)のイントラネットゾーン設定が重要です。イントラネットゾーンに登録されたサイトは、Kerberos認証を自動的に行う仕組みになっています。

設定手順

グループポリシーエディターで以下の順にたどります。

WindoIwnsternetExplorer

EntraのSSO関連URL(例:https://login.microsoftonline.com)を**値1(イントラネットゾーン)**として登録します。

この設定により、ユーザーがM365などのクラウドサービスにアクセスした際、自動的にKerberos認証が行われ、パスワード入力なしでログインできます。

実際の動作確認

設定が完了したら、オンプレミスのドメインに参加しているユーザーでログインし、以下のURLにアクセスして動作を確認します。

https://portal.office.com

IDを入力するだけで、パスワードなしでログインできれば成功です。

Kerberosチケットの状態は klist コマンドで確認できます。

klist

logon.microsoftonline.com 向けのチケットが取得されていることが確認できれば正常に動作しています。このチケットがEntra IDに提示され、トークン発行が行われることで、クラウド側での認証が完了します。

まとめ

今回の検証を通じて、クラウド(Entra ID)がKerberos認証を受け入れてトークンを発行し、オンプレミスからシームレスにクラウドへサインインできることが確認できました。

これはまさに、クラウドがオンプレミス認証基盤(Kerberos)とハイブリッド化している証拠です。シームレスSSOを構成することで、ユーザーは一度のログインでオンプレミス・クラウド双方のリソースにアクセスできるようになります。

次回はいよいよ本題となるハイブリッドなファイルサーバー環境に焦点を当て、クラウドとオンプレミスの連携によるアクセス制御や認証の仕組みを詳しく見ていきます。