SSO

第9回 クラウドサービスへのアクセス制御(1)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 3分 ◆ 今回の記事のポイント ◆ ・ 条件をクリアしたユーザーのみがクラウドサービスにアクセスできる「条件付きアクセス」機能の解説 第6回から第8回まででAzure ADと様々なクラウドサービスを関連付け、Azure ADにサインインするだけでクラウドサービスへのアクセスが実現するシングルサインオンの設定について解説をしました。このとき、アクセス許可の割り当てはユーザーまたはグループの単位で設定できることを紹介しました(OpenID Connect/OAuth2.0を使う場合は[承諾]ボタンを押せばアクセス許可の割り当てすら不要でした)。 ところが、クラウドサービスへのアクセス制御となると、いつでも、どこからでもアクセスできてしまうというセキュリティ上の課題があるため、単純にユーザー名とパスワードが正しければ無条件にアクセスしても良い、などとすることはできないでしょう。 こうした課題に対応するため、Azure ADではクラウドサービスへのアクセスに追加の条件を設定し、その条件をクリアしたユーザーだけがアクセスできるように制御する「条件付きアクセス」と呼ばれる機能を提供しています。 条件付きアクセスでは、クライアントがどこからアクセスしているか?や、クライアントデバイスのOSが何であるか?など、ユーザーアカウントを利用するデバイスの状態をベースにアクセス制御を行います。 具体的な処理フローは次の通りです。 条件付きアクセスでは、設定を適用するユーザーとグループ、クラウドアプリ(クラウドサービス)を最初に決定し、その後、クラウドサービスへのアクセス条件と許可/拒否を設定します。 それでは、具体的な設定方法を確認していきましょう。 条件付きアクセスの設定は、Azure管理ポータルの[Azure Active Directory]から[条件付きアクセス]をクリックして行います。[条件付きアクセス]画面では[新しいポリシー]をクリックして、ルールを作成します。 ポリシー作成画面では、最初にポリシーの名前、対象となるユーザー/グループ、クラウドアプリを選択します。ここでは、前回紹介したWebアプリケーションへのアクセスに条件付きアクセスを使ってアクセス制御設定をします。 続いて、ポリシーでは条件を設定します。ここでは「WindowsまたはiOS以外のすべてのOS」という条件を設定します。OS種類の設定は[条件]-[デバイスプラットフォーム]を利用します。条件設定画面では、対象外に設定したルールは対象に設定したルールよりも優先されるため、 対象:任意のデバイス...

クラウドサービス , セキュリティ , 一般 1 min read

第8回 Azure ADによるクラウドサービスの管理(3)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 ◆ 今回の記事のポイント ◆ ・ PaaS型クラウドサービスとの間でSSOを実現する方法について解説 前回、前々回とAzure ADとSaaS型クラウドサービスの関連付けを行い、Azure ADにサインインするだけでクラウドサービスへのアクセスが実現するシングルサインオンの設定について解説をしました。一方、認証基盤をAzure ADに一本化させていこうとすると、自社開発のWebアプリケーションもクラウドサービスで実行させるのであればAzure ADで認証させたいというニーズも出てくることでしょう。そこで、今回はAzure ADとWebアプリケーションの関連付けを行い、PaaS型クラウドサービスとの間でシングルサインオンを実現する方法について解説します。 Webアプリケーションを実装するためのPaaS型クラウドサービスは世の中に色々ありますが、Microsoft Azureを利用すると、Azure ADとの関連付けが非常に簡単にできるので、ここではMicrosoft AzureのWebホスティングサービス(Azure App Service)とAzure ADを関連付けていきます。 Azure App Serviceではアプリを追加すると、Webアプリケーションにアクセスする際に利用する認証サービスを選択できるようになっています。 認証サービスにはAzure...

セキュリティ , 一般 1 min read

第7回 Azure ADによるクラウドサービスの管理(2)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ SAMLプロトコルを使用しないSaaS型クラウドサービスとの間で、SSOを実現する方法について解説 ・ 例として、TwitterへのSSOを実現する方法について解説 前回はSAMLプロトコルを利用して、Azure ADとSaaS型クラウドサービスの関連付けを行い、Azure ADにサインインするだけでクラウドサービスへのアクセスが実現するシングルサインオンの設定について解説をしました。今回はAzure ADとクラウドサービスの関連付けを行う方法の第2弾として、SAMLプロトコルをサポートしないSaaS型クラウドサービスとの間でシングルサインオンを実現する方法について解説します。 SAMLプロトコルをサポートしないクラウドサービスとの間でシングルサインオンを実現する場合、クラウドサービスにアクセスするためのユーザー名とパスワードをAzure ADにキャッシュさせておき、クラウドサービスにアクセスするタイミングになったときに自動的に提示することで、シングルサインオンを実現します。 では、ユーザー名とパスワードを自動入力することでクラウドサービスへのアクセスがシングルサインオン化する、Azure ADとクラウドサービスの関連付け方法についてみていきます。ここでは例としてTwitterを利用してAzure ADと関連付けします。 クラウドサービスの関連付けはSAMLプロトコルをサポートするクラウドサービスと同様にAzure Active Directory管理センター (https://aad.portal.azure.com/) の[エンタープライズ アプリケーション]を使います。[+新しいアプリケーション]から新しく関連付けるクラウドサービスとしてTwitterを選択すると、TwitterとAzure...

ADAudit Plus , セキュリティ , 一般 1 min read

第6回 Azure ADによるクラウドサービスの管理(1)【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 6分 ◆ 今回の記事のポイント ◆ ・ SAMLプロトコルを使用したシングルサインオンの仕組みについて解説 ・ クラウドサービスをAzure ADに関連付けるための手順について解説 私はこの連載の最初に「Azure ADを利用する目的はクラウド上のアプリケーションへの認証・認可を一元化することにある」という趣旨の話をしました。現在、多くの企業で抱える課題に、企業で利用するクラウドサービスにアクセスするごとにユーザー名とパスワードを入力しなければならないというものがあります。Azure ADではこうした面倒をなくし、Azure ADで一度認証を行うだけで、それぞれのクラウドサービスにアクセスするときに毎度ユーザー名とパスワードを入力しなくてもよい、という解決策を提供してくれるという話でした。 では、現在お使いのクラウドサービスをAzure ADに関連付けるには、どうしたらよいでしょうか?IaaS, PaaS, SaaSの3種類のクラウドサービスのうち、どれを利用するかによって関連付けの方法は異なるのですが、ここではSaaSのケースを取り上げて具体的な関連付けの方法について解説します。 SaaSのクラウドサービスをAzure ADに関連付ける場合、シングルサインオン用のプロトコルであるSAMLと呼ばれるプロトコルが利用できます。SAMLプロトコルでは、ユーザー名とパスワードをクラウドサービスに提示する代わりにAzure ADが発行するトークンと呼ばれるデータを提示することでクラウドサービスへの認証・認可を済ませる、ということを行います。その結果、Azure ADに既にサインインしていれば、クラウドサービスへのサインインが要らなくなる、つまり「シングルサインオン」が実現するのです。 では、SAMLプロトコルを使ってAzure ADとクラウドサービスを関連付け、クラウドサービスへのシングルサインオンを実現するための手順を見てみたいと思います。設定方法はクラウドサービスによって多少異なりますが、ここでは例として「Dropbox...

ADSelfService Plus , セキュリティ , 一般 1 min read

第1回 AzureADを利用する意味【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ オンプレミスとクラウドにおける認証・認可の仕組みについて解説 このたびZoho Japanさんからご依頼をいただき、Azure Active Directoryのコラムを提供させていただくことになった、国井と申します。普段はマイクロソフト製品やサービスを中心としたトレーニングサービスを提供していることもあり、今回のような機会をいただきました。Active Directoryのコラムと交互に提供していきますので、Active Directoryのコラムを提供する新井ともどもよろしくお願いいたします。 私自身、集合研修と言われるトレーニングを提供させていただくことが多いのですが、直接お客様とお会いする中で、最近「オンプレミスからクラウドへの移行を行いたい」とのご相談をよくいただきます。オンプレミスには業務アプリケーションをはじめ、様々なアプリケーションやデータ、そしてサーバーが存在します。これらのリソースをクラウドへ移行することになっても、オンプレミスのときと同じようにユーザー名・パスワードのような本人確認(認証)の仕組みを用意し、特定のユーザーだけが適切なリソースに対してのみアクセスできるような仕組み(認可)を提供しなければなりません。このような認証と認可の仕組みを利用する場合、次のようなパターンが考えられます。 認証・認可の仕組みをオンプレミスに用意し、 オンプレミスとクラウドのリソースにアクセスするときに認証・認可が実現できるようにする 認証・認可の仕組みをクラウドに用意し、 オンプレミスとクラウドのリソースにアクセスするときに認証・認可が実現できるようにする 認証・認可の仕組みをオンプレミスとクラウドの両方に用意し、 オンプレミスとクラウドのリソースにアクセスするときに認証・認可が実現できるようにする パターン1の認証・認可の仕組みをオンプレミスに用意する場合、多くの企業でActive Directoryを利用してきたと思います。Active Directoryは社内のサーバーにアクセスするときの認証・認可の仕組みとして役立ちましたが、Kerberos(ケルベロス)と呼ばれる、特殊なプロトコルを利用して通信するため、インターネット経由で通信を行うクラウドサービスの認証・認可は少し苦手です。 Microsoft...

ADSelfService Plus 1 min read