みなさま、こんにちは。

前回の記事ではAzure ADとWorksapce ONE AccessのSAML連携について紹介しました。

ただし、単純なSAML連携ではMS認証＋AD認証とユーザはVDIにアクセスするまでに２回のアカウント入力が必要となります。

今回の記事ではセキュリティを確保しながらできるだけユーザの手間を減らす方法について紹介します。

①MS認証の手間を減らす

Azure上に作成したエンタープライズアプリケーションへの接続時に使用する条件付きアクセスのポリシーを構成することで２要素認証の手間を減らすことが可能です。

例えば、ネームドロケーションのポリシーを構成して特定のIPアドレスからの接続は２要素認証をパスする、Intuneを利用していればIntune登録端末からの接続は２要素認証をパスするなどのポリシーを構成し２要素目の認証を場所、端末にすることでユーザの手間を削減することが可能です。

しかし、この方法でもMＳ認証＋ＡＤ認証の認証が必要となってしまいます。

②TrueSSOを利用しAD認証の手間を減らす

前回の記事でSAML認証でWork SpaceONE Accesにログインした場合、

VDIの起動のためのADアカウントのパスワード情報がないため、

VDIにログインするためにパスワードの入力が必要となってしまうことを説明しました。

Work SpaceONE Accesにはこの手間を避けるためのコンポーネントが存在しています。

そのコンポーネントはTrueSSOといいます。

このコンポーネントを構成することでSAML連携でWork SpaceONE AccesにSSOした場合でも、VDIにパスワードの入力なくログインすることができます。

SAML連携先からVDIまでSSOができる、まさに真のSSOですね。

システム上の処理としては、Work SpaceONE AccesにSSOしたアカウントのAD認証をごく短いユーザ証明書を発行しログインさせることでパスワード入力を省略します。

ただし、このコンポーネントの利用には証明書を発行するためのエンタープライズCAと登録サーバと呼ばれるTrueSSOを処理する機能をインストールしたサーバが追加で必要になります。

２つの機能は同じサーバ上に構成することができるので、そのサーバ費用が発生しますが必要となりますがコストメリットは十分にあると思います。

今回はAzure ADとSAML連携したWork SpaceONE Accesのログインの手間を減らす方法としてTrueSSOをご紹介しました。

次回の記事の予定は未定です。