インストールの最後に警告は表示されているのですが飛ばしていてドハマりしました…・
■Office 365 のシングルサインオン時に認証が何度も発生し 401 エラーとなる
Office 365 のシングルサインオン環境を作成するために AD FS をセットアップしていました。
セットアップが終わったので、PowerShell でフェデレーションドメインとして設定していざシングルサインオンをしようとしたら認証ダイアログが何度も表示され 401 エラーになってしまいました。
さて、なんでだろうと思ったら以下の KB が。
フェデレーションされたユーザーアカウントで Office 365 にサインインする際、 AD FS 2.0 サービス エンドポイントに接続していると、資格情報の入力を繰り返し求められる
AD FS のインストール時に [サービス設定の構成] で SPN が登録できていないという警告が表示されていたのですが登録をすっかり忘れてそのまま作業を進めていました。
AD FS のサービスアカウントはドメインユーザーのアカウントを指定しますが、そのユーザーの SPN としてフェデレーションサービス名を登録する必要があります。
AD FS のサービスアカウントとして使用しているドメインユーザーに対して、フェデレーションサービス名の SPN を登録したところ 401 エラーにならずに認証をすることができました。
# ADに存在しているコンピューター名のFQDNでSPNを登録してしまうと AD FS のサービスが起動できずにエラーとなってしまうので適当な AD FS に適当なフェデレーションサービス名を設定して SPN を登録したほうが良さそうです。
警告はきちんと解消しないと駄目ですね…。