Azure Active Directory(以下Azure AD)とは、Microsoftが提供するクラウドベースで「認証」と「許可」を一元管理するサービスです。
Azure ADで認証を行えば、連携しているシステムにログインなしでアクセスできるようになります。
Azureアカウントで、他のクラウドサービスが利用できます。
例:Dropbox、Slackなど
AADとAADCについて
1. Azure ADでできること
下記に、Azure ADでできることの一例を示します。
・様々なアプリと連携して、SSO(シングルサインオン)が実現できる
・会社のアプリケーションとサービスを任意の外部組織のパートナーと安全に共有できる
・Azure ADからオンプレミスのActive Directoryへ連携できる
・セキュリティや使用パターンに対するレポートの表示
・電話などによる多要素認証
・アクセス制御
など
10. まとめ
オンプレミスとクラウドの両方を使って仕事をしたいという企業もたくさんあるでしょう。
両方の管理をしやすくするために同期をとってくれる機能もありがたいですね。
また今回は、ADとAAD、AADCの関係性について知ることができました。
さらにインフラ側でどんな機能があって、どんな動きをしているのか知っていきたいと思います。
2. Active DirectoryとAzure ADの違い
サービスとしては別物なので注意してください。
Active Directoryはオンプレミス専用のサービスで、Windowsサーバーで利用可能なユーザー、コンピュータ、共有フォルダなどの情報を管理するシステムです。
認証・認可の機能はActive Directoryにも備わっています。
Azure ADはクラウドサービスに対するものになります。
※kerberos認証…SSO(シングルサインオン)の一種で、1度、IDとパスワードを使用して認証するとチケットが発行されて、それ以降は身元保証書を使って認証作業を行うやり方です。
ケルベロス認証ではクライアントとサーバーを相互に認証できるだけでなく、通信保護のため暗号化して通信しています。
※SAML認証…異なるインターネットドメイン間でユーザーの認証を行うための、XMLベースの標準規格のことです。
「Security Assertion markup Language」を略してSAML(サムル)と呼ばれています。
SAML認証の流れとしては、「ユーザー」「SP」「Idp」が関わってきます。
SP:Service Provider。認証情報の利用者側。サービスの提供をするサーバーです
クラウドサービスやWebアプリケーションを指します。
Idp(IDプロバイダー):Identity Provider。クライアントの認証を行う
SAML認証では、利用するサービスへの認証を行う際、ユーザーのパスワードではなく、IDや属性などのユーザー情報を記述した「SAMLアサーション」のやり取りを行います。
※「SAMLアサーション」とは、ユーザーがサインインしたことをサービスプロバイダーに伝えることです。
認証方式は2種類あって、「Idp Initiated」「SP Initiated」があります。
Active Directoryはオンプレミス専用のサービスで、Windowsサーバーで利用可能なユーザー、コンピュータ、共有フォルダなどの情報を管理するシステムです。
認証・認可の機能はActive Directoryにも備わっています。
Azure ADはクラウドサービスに対するものになります。
https://cloud.nissho-ele.co.jp/vdiblog/arrange_activedirectory_and_azureactivedirectory/
※kerberos認証…SSO(シングルサインオン)の一種で、1度、IDとパスワードを使用して認証するとチケットが発行されて、それ以降は身元保証書を使って認証作業を行うやり方です。
ケルベロス認証ではクライアントとサーバーを相互に認証できるだけでなく、通信保護のため暗号化して通信しています。
※SAML認証…異なるインターネットドメイン間でユーザーの認証を行うための、XMLベースの標準規格のことです。
「Security Assertion markup Language」を略してSAML(サムル)と呼ばれています。
SAML認証の流れとしては、「ユーザー」「SP」「Idp」が関わってきます。
SP:Service Provider。認証情報の利用者側。サービスの提供をするサーバーです
クラウドサービスやWebアプリケーションを指します。
Idp(IDプロバイダー):Identity Provider。クライアントの認証を行う
SAML認証では、利用するサービスへの認証を行う際、ユーザーのパスワードではなく、IDや属性などのユーザー情報を記述した「SAMLアサーション」のやり取りを行います。
※「SAMLアサーション」とは、ユーザーがサインインしたことをサービスプロバイダーに伝えることです。
認証方式は2種類あって、「Idp Initiated」「SP Initiated」があります。
2-1. SAMLの基本的な構成例
SAMLとKerberosの違いとしては、SAMLがWebアプリに特化しているのに対し、KerberosはWindowsのドメイン環境に特化したものです。
2-2. ブラウザからサービスにアクセスする
↓
利用者はユーザー情報を入力する
↓
Idpは認証応答をブラウザ経由でSPに送信する
↓
SPはサービスの提供を開始する
3. AADCとは
AADCとは、Azure Active Directory Connectの略称です。
オンプレミスとクラウドの両方でシステムを運用する際のアカウント管理に使えるツールです。
オンプレミス環境とAAD間のIDデータの同期を行っています。
同期を行うことでオンプレミスとクラウド、それぞれで同じアカウントが使用できるため、情報システム管理者、ユーザーともに、アカウント管理の手間が省けます。
ユーザーをグループ単位で管理したり、アプリケーションを割り当てたりすることができます。
オンプレミスとクラウドの両方でシステムを運用する際のアカウント管理に使えるツールです。
オンプレミス環境とAAD間のIDデータの同期を行っています。
同期を行うことでオンプレミスとクラウド、それぞれで同じアカウントが使用できるため、情報システム管理者、ユーザーともに、アカウント管理の手間が省けます。
ユーザーをグループ単位で管理したり、アプリケーションを割り当てたりすることができます。
https://learn.microsoft.com/ja-jp/azure/active-directory/hybrid/connect/whatis-phs?WT.mc_id=AZ-MVP-5004154
4. Azure AD Connectの特徴
Azure AD Connectの、アカウント同期に関する機能についての説明をします。
4-1. 同期・認証方法
Azure AD Connectの認証方式には、「パスワードハッシュ同期(PHS)」「パススルー認証(PTA)」「フェデレーション認証」の3つがあります。
パスワード ハッシュ同期(PHS)
オンプレミスのADからAzure ADにユーザーのパスワードのハッシュを同期する方式です。
パススルー認証(PTA)
Azure ADを経由してオンプレミスのADにて認証を行う方式です。
オンプレミスのセキュリティポリシーが適用されます。
またパスワード情報もオンプレミス上に保存され、クラウド上には保存されません。
※「パスワードハッシュの同期」との違いは、AzureADがオンプレミス上にアカウント情報の問い合わせを実施するところになります。
フェデレーション認証
オンプレミスのADにて認証を行う方式で、Active Directoryフェデレーション(ADFS)を用いて、ADとAzure ADでフェデレーションを構成します。
※フェデレーションとは、一度認証されれば、その認証情報から使用許可されているサービスを使えるようにする仕組みです。
4-2. 同期の範囲
Azure AD Connectでは、オンプレミスとクラウド間で同期をとることができ、ユーザーやグループ、その他のオブジェクトを作成できます。
デフォルトの状態だと30分に1回の頻度で行われます。
少なくとも7日に1回は同期をとる必要があります。
4-3. 監視
オンプレミスのアカウント情報を監視することも可能です。
その際には、Azure AD Connect Healthをインストールする必要があります
5. Azure AD Connectを使うメリット
オンプレミスとクラウドを同期し、管理を一元化することで、ユーザー側も管理側もメリットを得ることができます。
5-1. ユーザー側のメリット
ID・パスワードがいくつもあれば、忘れてしまったりメモをとっておく必要がでてくることもあります。
そうなると、管理者側に問い合わせが必要になったり、メモから第三者に情報が漏れる可能性が出てきてしまいます。
Azure AD Connectを使用することでアカウント情報が一つになれば、ユーザー自身がIDやパスワードを管理する手間が省け、情報漏洩のリスクも軽減できます。
また、オンプレミスとクラウドの両方にアクセスしやすくなり、作業性や生産性もあがります。
5-2. 管理者側のメリット
情報システム管理者側のメリットとしては、ユーザーからの問い合わせ対応などが減り、工数削減・負荷の削減にもつながることです。
オンプレミスとクラウドの両方で同じIDやパスワードを利用することでユーザー側のミスが減り、アカウントロックになってしまう可能性や状況確認の問い合わせ対応が減ったりします。
また、アカウント管理の一元化により、退職者アカウントの削除忘れによる情報漏洩のリスクも軽減されます。
6. AADCを使用するために必要なこと
■Azure AD Connectを使用するための準備
①オンプレのADと同期先のAzure ADが必要
②ドメイン参加(DNS設定)
・ADサーバー
・AADCサーバー
③Azure ADテナント作成
④Azure ADのグローバル管理者ユーザー作成
6-1. 用語の説明
テナント
主にシングルテナントとマルチテナントの2種類があります
・シングルテナント
SaaS(ネット経由でソフトウェアを利用するサービス)などのサービスで、顧客企業が一つのシステムを専有する方式のことです。
・マルチテナント
SaaSなどのサービスで、複数の顧客企業が一つのシステムを共有する方式のことです。
7. Azure AD Connectのインストールの順序
大まかな流れは以下になります。
①Azure AD Connectのダウンロード
②前提条件の確認
③インストール
④アカウントのアクセス許可
8. Azure AD Connectのインストール時の注意点
・Azure ADでは変更・削除ができない
Azure ADとの同期の前に、ADで不要な情報の削除を行い、そのあとに同期することで、不要な情報が残らないで済みます。
・SQL Serverデータベースの性能の注意する
アカウント情報の格納には、SQL Serverデータベースが用いられます。
データベース、SQL Server Express の簡易バージョンであるSQL Server 2012 Express LocalDBは約10万件(サイズ上限10GB)のオブジェクトを管理できます。
それ以上の規模のオブジェクトを管理したい場合は、最新のSQL Serverの適用についても検討する必要があります。
9. Azure AD Connectの料金
Azure AD Connectにかかる費用は、Azureのサブスクリプションの範囲内であり、利用は無料です。
使用するのにライセンスが必要な範囲もあるので、利用する際には確認が必要です。