ここから本文です

Active DirectoryとAzure Active Directory、何が違うの?

@IT 7月25日(月)6時10分配信

●“クラウドの台頭”で必要になったAzure Active Directory

 企業は長い間、社内にシステムを構え、クライアント/サーバ型のシステムを運用してきた。そして、その中心には「Active Directory」があった。Active Directoryは「ドメイン」という仕組みで、社内のさまざまなサーバへのアクセスを一元的に管理してきた。

【その他の画像】Azure ADが提供する機能

 Active Directoryによって、クライアントコンピュータは一度のログオン(サインイン)で、ドメインに参加している全てのサーバへ簡単にアクセスできるようになった。いわゆる「シングルサインオン(Single Sign On:SSO)」と呼ばれる仕組みである。

 最近は、クラウドで提供されるアプリケーションを利用する機会も増えてきた。しかし、クラウドはActive Directoryドメインの“範囲外のシステム”であるため、クライアントからのアクセスはSSOにはならない。それぞれのクラウドのアプリケーションにアクセスするたびに、ユーザー名/パスワードをいちいち入力しなければならない状況になっているのだ。

 そこで、マイクロソフトは「Microsoft Azure Active Directory(Azure AD)」と呼ばれるクラウドベースの認証サービスを新たに提供し、クラウドアプリケーションへのアクセスを一元管理することでSSOを実現できるようにした。つまり、Azure ADは「Active Directoryのクラウド版」ともいえるサービスなのである。

●Azure ADでは何ができるのか?

 Azure ADはクラウドアプリケーションに対するSSO機能を実現するが、そのためには「認証と認可」、そして多くのクラウドアプリケーションと連携できるようにするための「アプリへのアクセス」機能が求められる。そこで、Azure ADでは以下の機能を提供する。

○ユーザー/グループの管理

 認証やアクセス許可(認可)を制御するためのベースとなるユーザー/グループの管理機能を提供する。

○連携するアプリケーションの管理

 Azure ADで認証されたユーザーに対し、アプリケーションへのアクセスを提供する。現在、Azure AD経由でアクセス可能なクラウドアプリケーションは2000種類以上ある。

 加えて、Microsoft Azure上に作成したWebサイト(Azure Webサイト)や、オンプレミスで外部公開しているWebサイトへのAzure AD経由でのアクセスも可能にする。Azure AD経由でのアプリケーションへのアクセスは単純にアクセスを許可するのではなく、「誰に対して許可を与えるか」をユーザーまたはグループ単位で制御する「認可」の機能を併せて実装できる。

○デバイスの管理

 ユーザーが利用するデバイスを登録し、適切なデバイスによるアクセスを許可するように構成することができる。意図しないデバイスでリソースアクセスを行う「シャドーIT」対策に効果を発揮する。

○多要素認証

 Azure ADの認証はパスワードだけでなく、電話やSMS(ショートメッセージサービス)、ワンタイムパスワードなど、複数の要素を組み合わせて認証を行う「多要素認証」をサポートする。

○アクセスログ

 Azure ADによるユーザー認証やアプリケーションへのアクセス結果などは「アクセスログ」として記録され、Webブラウザ上でレポートとして確認できる。また、不正アクセスを検出するためのレポートも同時に提供される。

 Azure ADは、単純にクラウドアプリケーションにSSOでアクセスする機能を提供するだけでなく、Active Directoryのような認証基盤としての機能をクラウドベースで提供してくれる。

●Active DirectoryとAzure ADは何が違うのか?

 オンプレミスのWindows Serverで構成されたActive Directoryも、Microsoft Azureで提供されるAzure ADも、同じ「Active Directory」の名前で認証基盤としての機能を提供する。では、両者は何が違うのか。Active DirectoryとAzure ADの違いは、認証と許可を処理するための「プロトコル」だ。

 Active Directoryは社内システムに対するSSOの機能を提供し、Azure ADはクラウドアプリケーションに対するSSOの機能を提供する。これは認証と認可に使用するプロトコルが異なるため、SSOの機能を提供する範囲が異なるという意味でもある。

 Active Directoryでは、ドメイン参加しているコンピュータを対象に「Kerberos」プロトコルを利用して認証と認可を行う。そのため、ドメインで一度認証したユーザーはドメインに参加している他のコンピュータへSSOアクセスができるようになる。

 一方、Azure ADで利用されるのは「SAML」や「OpenID Connect」などの、主にクラウドで使われるプロトコルだ。そのため、Azure ADで認証を行ったユーザーは、SAMLなどのプロトコルをサポートするクラウドアプリケーションにSSOアクセスできるようになる。つまり、SAMLやOpenID Connectなどのプロトコルが利用できれば、社内に設置されたアプリケーション(例えば、SharePoint Serverなど)などにもSSOでアクセスすることも可能である。

 「Azure ADの登場によって、Active Directoryが不要になる」といった話を聞くこともあるが、ドメインに参加しているサーバへのアクセスをAzure ADで行うには、SAMLなどのプロトコルによるアクセスをサポートしなければならないため、容易ではない。そのため、しばらくの間、オンプレミスのActive DirectoryとクラウドのAzure ADは多くの企業で共存させていくことになるだろう。

●Azure VM上のActive DirectoryとAzure ADの違いは?

 次に混乱しがちなキーワードは「Microsoft Azure仮想マシン(Azure VM)上のActive Directory」との違いだ。Azure VMでWindows Serverを起動し、Active Directoryをインストールすると、クラウドでもActive Directoryを利用できるようになる。だからAzure ADと同じ機能を利用できるのではないか、という誤解だ。

 前述のように、Active Directoryはクラウド上に仮想マシンで構成しても、ドメインに参加しているサーバを対象にKerberosプロトコルを利用して、認証と認可の機能を提供することに変わりはない。SAMLやWS-Federationプロトコルを利用するAzure ADとは明らかに違うのである。

●AD FSとAzure ADの違いは?

 「Active Directoryフェデレーションサービス(AD FS)」サーバとは、クラウドのアプリケーションに対してSSOを提供する、Windows Serverにインストールして利用する機能であり、Office 365へのSSOを実現するため利用されている。しかし、AD FSはOffice 365に限らず、さまざまなクラウドのアプリケーションへのSSOを実現できる。すると、新たな疑問が浮かんでくる。

 AD FSはAzure ADと何が違うのだろうか

 AD FSとAzure ADはどちらもSAMLなどのプロトコルを利用する。しかし、AD FSはWindows Serverにインストールして利用するものであり、Azure ADはクラウドからサービスとして提供する、という違いがある。

 もう1つの違いは、「トークン」を発行するための認証方法だ。

 AD FSサーバやAzure ADは、SSOを行うためにトークンと呼ばれる情報を発行し、クラウドのアプリケーションと連携する。このとき、AD FSサーバは、Active Directoryで認証したユーザーに対してトークンを発行する。一方、Azure ADは、Azure ADで認証したユーザーに対してトークンを発行する。

 つまり、Azure ADではSSOを実現するために、新しくAzure ADにユーザーを作成する必要があるのに対して、AD FSは既存のActive Directoryユーザーを使ってSSOを実現できるという違いがある(図3)。

●[column]Azure ADでActive Directoryユーザーを利用するには?

 Azure ADでは、認証を行うユーザーをAzure AD上で新規作成する方法の他、Active Directoryに作成済みの既存のユーザーを同期(=コピー)することができる。この同期機能を「ディレクトリ同期ツール」と呼び、Azure ADから提供されている。

 ディレクトリ同期ツールは、オンプレミスのWindows Serverにインストールして、ユーザーを同期する。これにより、Active Directoryのユーザー名/パスワードをAzure ADでも利用できるようになる。詳しい使い方については、別の機会に紹介する。

●筆者紹介 国井傑:株式会社ソフィアネットワーク取締役。1997年よりマイクロソフト認定トレーナーとして、Active DirectoryやActive Directoryフェデレーションサービス(AD FS)など、ID管理を中心としたトレーニングを提供している。2007年よりMicrosoft MVP for Directory Servicesを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。

最終更新:7月25日(月)6時10分

@IT

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]