WebアプリをOne Driveに統合すると、ユーザーは2回ログインする必要はありません。

Question

ドキュメントとストレージのデータを処理するためにOneDriveをWebアプリケーションと深く統合したいと考えています。ただし、ユーザーは2度ログインしないようにしてください。これが可能かどうかは分かりませんが、私はSSOとSAMLについて読んできました。

シングルサインオンは可能でしょうか？

Answer 1

シングルサインオン（SSO）は、Webアプリケーションが異なるドメインでホストされている場合のユーザーエクスペリエンスに最適なソリューションです。このユースケースを解決するために、クロスドメイン認証用にSAMLが標準として開発されました。 Webアプリケーションへのユーザーの認証を処理するIDプロバイダ（IDP）サーバーが必要になり、IdPサーバーはWebアプリケーションとOneDriveにSAMLアサーションを発行します。このアーキテクチャのアプリケーションは、SAMLアサーションを消費するService Provider（SP）であり、OneDriveはSAMLアサーションを使用するSPです。 IdPサーバーを提供する多くのSSO/Federationベンダーがあります。

IdPサーバを選択してインストールしたら、SAMLアサーションを使用してIdPサーバを接続とし​​て設定するWebアプリケーションを実装する必要があります。 OneDriveはSAMLとWS-Federationをすでにサポートしているため、単純に構成になります。

プロトコルとしてSAMLに加えて、OpenID Connect（OIDC）やOAuth2などのSSO /フェデレーションに関する他の標準があります。 IdP Serverソリューションを選択する場合、追加のユースケースを解決できる他のプロトコルを検討することができます。 SAMLは、Webアプリケーションや説明したユースケースに適しています。 OIDCとOAuth2は、安全なAPIとネイティブモバイルアプリケーションに適しています。

IdPサーバーを検討する際のもう1つの考慮点は、認証の実行方法です。認証のオプションは、すべてのクライアントが共通ドメインにある場合はKerberos/IWAを使用するか、ログインフォームを使用して認証する場合があります。また、SSOソリューションの一部としてIdPサーバーを見るときは、MFAサポートを参照することもできます。