Reading Time: 1 minutes

◆ 今回の記事のポイント ◆
・ オンプレミスとクラウドにおける認証・認可の仕組みについて解説

このたびZoho Japanさんからご依頼をいただき、Azure Active Directoryのコラムを提供させていただくことになった、国井と申します。普段はマイクロソフト製品やサービスを中心としたトレーニングサービスを提供していることもあり、今回のような機会をいただきました。Active Directoryのコラムと交互に提供していきますので、Active Directoryのコラムを提供する新井ともどもよろしくお願いいたします。

私自身、集合研修と言われるトレーニングを提供させていただくことが多いのですが、直接お客様とお会いする中で、最近「オンプレミスからクラウドへの移行を行いたい」とのご相談をよくいただきます。オンプレミスには業務アプリケーションをはじめ、様々なアプリケーションやデータ、そしてサーバーが存在します。これらのリソースをクラウドへ移行することになっても、オンプレミスのときと同じようにユーザー名・パスワードのような本人確認(認証)の仕組みを用意し、特定のユーザーだけが適切なリソースに対してのみアクセスできるような仕組み(認可)を提供しなければなりません。このような認証と認可の仕組みを利用する場合、次のようなパターンが考えられます。

  1. 認証・認可の仕組みをオンプレミスに用意し、
    オンプレミスとクラウドのリソースにアクセスするときに認証・認可が実現できるようにする
  2. 認証・認可の仕組みをクラウドに用意し、
    オンプレミスとクラウドのリソースにアクセスするときに認証・認可が実現できるようにする
  3. 認証・認可の仕組みをオンプレミスとクラウドの両方に用意し、
    オンプレミスとクラウドのリソースにアクセスするときに認証・認可が実現できるようにする

パターン1の認証・認可の仕組みをオンプレミスに用意する場合、多くの企業でActive Directoryを利用してきたと思います。Active Directoryは社内のサーバーにアクセスするときの認証・認可の仕組みとして役立ちましたが、Kerberos(ケルベロス)と呼ばれる、特殊なプロトコルを利用して通信するため、インターネット経由で通信を行うクラウドサービスの認証・認可は少し苦手です。

Microsoft Azureの場合、Azure VPNという仕組みを利用してオンプレミスとクラウドのネットワークをVPNで直接接続すれば、クラウド上の仮想マシンをオンプレミスのActive Directoryドメインに参加させることができるため、Active Directoryを利用した認証・認可を行うこともできます。しかし、それもクラウド仮想マシン(IaaS)を利用した場合の話であって、PaaSを利用したWebサービスの認証や、Office 365のようなSaaSの認証には利用できません。

そこで登場するのがパターン2の認証・認可の仕組みをクラウドに用意する仕組みです。認証・認可の仕組みをSaaSやPaaSなどのクラウドサービスと連携させ、クラウドで一度、ユーザー名・パスワードを入力して認証を行えば、それぞれのクラウドサービスにアクセスするたびにユーザー名・パスワードを入力しなくてもよくなります。こうした仕組みを提供するサービスがこのコラムの中で紹介する「Azure Active Directory (Azure AD)」です。

Azure ADはクラウドサービスへの認証・認可の機能として最適化されているため、パターン1とは逆にオンプレミスのサーバーの認証・認可の仕組みが苦手です。オンプレミスからクラウドへの移行を一気に行うのであれば、パターン2にすることもできるのでしょうが、現実には段階的に移行していくことが多いでしょう。その場合には、パターン3のオンプレミス(Active Directory)とクラウド(Azure AD)の両方を並行して運用する方法がよいでしょう。
パターン3の方法では、マイクロソフトから提供されるAzure AD Connectと呼ばれるツールを利用することで、Active Directoryのユーザーやグループの情報をAzure ADに同期するため、ユーザー名・パスワードの情報を簡単にクラウドへ移行できます。また、ユーザーはActive DirectoryとAzure ADで同じユーザー名・パスワードが利用できるというメリットがあります。

ここまで3つのパターンによるオンプレミスとクラウドのサービスにアクセスするための認証・認可の仕組みについてみてきました。オンプレミスだけでITシステムを運用するようなケースではActive Directoryが最適な認証・認可のシステムでしたが、最近ではクラウドの登場と共にActive Directoryで認証・認可の管理を一元化することが難しくなってきています。
私たちのITシステムをオンプレミスからクラウドへ移行することになれば、Active Directoryに代わる認可のシステムが必要とされます。そのときに利用できる仕組みこそがAzure ADなのです。
次回は、セキュリティ面からみたAzure ADの必要性について紹介します。

筆者紹介
国井 傑 (くにい すぐる)
株式会社ソフィアネットワーク所属。インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとしてインフラ基盤に関わるトレーニング全般を担当。Azure ADを中心としたトレーニングの登壇やトレーニングコースの開発に従事するだけでなく、ブログ等のコミュニティ活動も評価され、2006年からAzure AD/Active Directoryの分野におけるMicrosoft MVPを12年連続で受賞する。
主な著作に『ひと目でわかるAzure Information Protection』 (日経BP)、『徹底攻略MCP問題集 Windows Server 2016』 (インプレスジャパン)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。

 

ゾーホー社員のつぶやき

はじめまして、ゾーホージャパンの前田と申します。連載「MicrosoftのMVP解説!AzureADの虎の巻」では、ブログ記事の最後に、関連するManageEngine製品をご案内するコーナー「ゾーホー社員のつぶやき」を設けております。「ゾーホー社員のつぶやき」も含めて、最後までお読みいただけますと幸いです。

今回の記事では、一度のクラウド認証により、それぞれのクラウドサービスにアクセスするたびにユーザー名・パスワードを入力しなくてもいい、SSOの仕組みを提供するサービスとして「Azure Active Directory (Azure AD)」が紹介されていました。

ManageEngineでは、この仕組みをオンプレミスで実現するツール「ADSelfService Plus」を提供しています。

■ 「ADSelfService Plus」とは?
Active Directoryのアカウントロック解除/パスワードリセットの運用をセルフサービス化する、Webベースのオンプレミス型ソフトウェアです。セルフサービス化の機能に加えて、パスワード同期/シングルサインオン(SSO)機能も備えており、パスワード/アカウントステータスの変更を複数のクラウドベースおよびオンプレミスのクラウドサービス間でリアルタイムに同期することが可能です。さらに、ADSelfService Plusを経由したサービスへのSSOに対応しています。

ADSelfService Plusについて詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスください。

【ADSelfService Plusの製品ページ】
https://www.manageengine.jp/products/ADSelfService_Plus/

【ADSelfService Plusのダウンロードページ】
https://www.manageengine.jp/products/ADSelfService_Plus/download.html

>> 第2回 Azure ADを使って安全にクラウドサービスへアクセスする



▼▼ 別シリーズのブログ記事もチェック! ▼▼
【MicrosoftのMVP解説!Active Directoryのハウツー読本】第1回 Active Directoryの必要性


フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。