![見出し画像](https://assets.st-note.com/production/uploads/images/96896550/rectangle_large_type_2_6676a339cd52ce220a39324aa281dc24.png?width=800)
シームレスなシングルサインオンでエラー
こんにちわ、アイシーティーリンクの藤井です。
先日、Azure AD ConnectでオンプレAD環境をAzure ADへ同期した時の話です。
オンプレADは4つのフォレストで構成されており、シングルサインオンを利用する要件だったため、Azure AD Connect の構成で4つとも有効にしておりました(1つのフォレストは他の3フォレストと信頼関係で結ばれています)
![](https://assets.st-note.com/img/1675142880090-aVTaamVbSL.png?width=800)
この状態でAzure AD Connect を構築してAzure ADへ同期すると、Azure AD管理センターのシームレスなシングルサインオンの画面で下記のエラーとなってしまいました。
![](https://assets.st-note.com/img/1675145468824-LQRpe0hyzl.png?width=800)
Kerberos 解読キーのロールオーバーをお勧めされましたが、詳細を見てもよく分かりませんでした。
その後、いろいろ調べると下記Microsoftの記事に辿り着きました。
[Azure Active Directory シームレス シングル サインオンのトラブルシューティングを行う]
シームレス SSO を有効にするポリシーには、25,600 文字の制限があります。 この制限は、シームレス SSO を有効にするフォレスト名を含め、ポリシーに含まれるすべてのものに適用されます。 環境内に多数のフォレストがある場合は、文字数の制限に達する可能性があります。 フォレスト間に信頼関係がある場合は、1 つのフォレストでのみシームレス SSO を有効にするだけで十分です。 たとえば、contoso.com と fabrikam.com があり、この 2 つの間に信頼関係がある場合、contoso.com でのみシームレス SSO を有効にすれば、fabrikam.com にも適用されます。 このようにポリシーで有効にするフォレスト数を減らして、ポリシーの上限を超えないようにすることができます。
記事によると、フォレスト間で信頼関係がある場合は、1つのフォレストのみシングルサインオンを有効にするだけで十分とのこと。
どうやら、シームレスSSOを有効にするポリシーがあり、そのポリシーには25,600文字の文字数制限があるので、4フォレストをシングルサインオン有効にしたことにより文字数の制限に引っかかった模様。
そのため、一旦シングルサインオンを無効にしてAzure AD Connectを構成し、
![](https://assets.st-note.com/img/1675144925136-AxfZjmqkhK.png?width=800)
再度、Azure AD Connect構成ウィザードから、信頼されている1つのフォレストのみシングルサインオンを有効にして構成すると、
![](https://assets.st-note.com/img/1675146139341-AlfhCQ2kyh.png?width=800)
エラーが解消しました!
![](https://assets.st-note.com/img/1675145366079-3oE5xIRdMf.png?width=800)
危なくKerberos 解読キーのロールオーバーでハマるところでした。。。
複数のフォレストをAzure AD Connectで同期する際は、お気を付けください。
このように弊社は、オンプレAD環境からAzure ADのクラウド環境への移行作業もおこなっておりますので、ご検討の方は下記リンクよりお気軽にお問い合わせくださいませ。
お問い合わせ – アイシーティーリンク株式会社 (ictlink.jp)
![](https://assets.st-note.com/img/1675146093419-L3L19akZX3.png?width=800)
この記事が気に入ったらサポートをしてみませんか?