AzureAD

第1回 Active Directoryの必要性【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 6分 ◆ 今回の記事のポイント ◆ ・ Active Directoryの必要性について確認 ・ 「認証」と「認可」について解説 ・ ワークグループとドメインでの認証動作の違いについて解説 今回より、Active Directoryのコラムを担当させていただくことになりました、新井と申します。Azure Active Directoryのコラムを担当させていただいている国井と同様に、私も普段はマイクロソフトの製品や技術に関するトレーニングをおこなっております。その中でも、Windows ServerやActive Directoryに関するトレーニングを中心に担当していることもあり、本コラムを担当させていただくことになりました。コラムを通して、現状の環境の再確認や、今後のクラウド化に向けた環境の整理などのために役立てていただければと考えておりますので、宜しくお願いいたします。 さて、初回となる今回は、Active Directoryの必要性について解説していきます。今ではほとんどの組織で当たり前のように導入されている「Active Directory」ですが、あらためてその必要性を確認していきましょう。 ■ 「認証」と「認可」 組織内には、様々なアプリケーションやデータ、サーバーなどのリソースが存在します。そして、扱われるリソースの中には、誰でも閲覧できるように公開したいものもあれば、特定の人だけにアクセスを限定したいものもあります。そのため、コンピューターを使用する上では、どの利用者なのかを識別するプロセスが重要であり、その確認をおこなうための「認証」の仕組みが必要になります。Windowsベースのコンピューターでは、ユーザーアカウントを使用して認証をおこなうことによって、どの利用者なのかを識別しています。その上で、各データに対してどのユーザーだったらアクセスを許可するのかを設定することにより、データへのアクセス制御である「認可」を実現しているのです。...

ADAudit Plus 1 min read

第2回 Azure ADを使って安全にクラウドサービスへアクセスする【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ Azure ADを利用したSSO(シングルサインオン)ガセキュリティに与える影響について解説 皆さんこんにちは。前回からAzure Active Directoryのコラムを担当している国井です。 前回、Azure Active Directory (Azure AD) を利用することで、それぞれのクラウドサービスにアクセスするたびにユーザー名・パスワードを入力しなくてもよくなる、という話をしました。このような仕組みを「シングルサインオン」と呼びますが、今回はシングルサインオンを行うことがセキュリティに与える影響についてお話します。 シングルサインオンは1回のユーザー名・パスワードの入力操作でどこにでもアクセスできる仕組みです。そのため、利用者側 (ユーザー) から見れば、ブラウザーでユーザー名・パスワードがキャッシュされているのと、Azure ADを使ってシングルサインオンしているのは、どちらも同じに見えます。そのため、Azure ADの利用を社内で検討するときは「わざわざAzure ADを利用するメリットがあるのか?」という議論もあるでしょう。 この質問に対する、セキュリティ面から見た答えは「まったく違います」。...

ADAudit Plus , セキュリティ , 一般 1 min read

第1回 AzureADを利用する意味【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ オンプレミスとクラウドにおける認証・認可の仕組みについて解説 このたびZoho Japanさんからご依頼をいただき、Azure Active Directoryのコラムを提供させていただくことになった、国井と申します。普段はマイクロソフト製品やサービスを中心としたトレーニングサービスを提供していることもあり、今回のような機会をいただきました。Active Directoryのコラムと交互に提供していきますので、Active Directoryのコラムを提供する新井ともどもよろしくお願いいたします。 私自身、集合研修と言われるトレーニングを提供させていただくことが多いのですが、直接お客様とお会いする中で、最近「オンプレミスからクラウドへの移行を行いたい」とのご相談をよくいただきます。オンプレミスには業務アプリケーションをはじめ、様々なアプリケーションやデータ、そしてサーバーが存在します。これらのリソースをクラウドへ移行することになっても、オンプレミスのときと同じようにユーザー名・パスワードのような本人確認(認証)の仕組みを用意し、特定のユーザーだけが適切なリソースに対してのみアクセスできるような仕組み(認可)を提供しなければなりません。このような認証と認可の仕組みを利用する場合、次のようなパターンが考えられます。 認証・認可の仕組みをオンプレミスに用意し、 オンプレミスとクラウドのリソースにアクセスするときに認証・認可が実現できるようにする 認証・認可の仕組みをクラウドに用意し、 オンプレミスとクラウドのリソースにアクセスするときに認証・認可が実現できるようにする 認証・認可の仕組みをオンプレミスとクラウドの両方に用意し、 オンプレミスとクラウドのリソースにアクセスするときに認証・認可が実現できるようにする パターン1の認証・認可の仕組みをオンプレミスに用意する場合、多くの企業でActive Directoryを利用してきたと思います。Active Directoryは社内のサーバーにアクセスするときの認証・認可の仕組みとして役立ちましたが、Kerberos(ケルベロス)と呼ばれる、特殊なプロトコルを利用して通信するため、インターネット経由で通信を行うクラウドサービスの認証・認可は少し苦手です。 Microsoft...

ADSelfService Plus 1 min read