ここから本文です

SaaS導入で考えるべき2つのこと、「AD FS」で実現するハイブリッドID管理のメリットとは

10/13(金) 8:00配信

@IT

 メールやスケジュール、ドキュメント管理などのさまざまなシステムがSaaS(Software as a Service)になり、多くの企業で日常的に利用を始めています。このようなSaaSを利用する場合、ログインのアカウントとパスワードが既存システムと異なっているとユーザーの利便性が下がり、情報システム部門の管理負担も大きくなってしまいます。

AD FSによるOffice 365とのSSO

 そのため業務でのSaaS導入においては、既存のID管理システムで管理しているアカウントとパスワードによるログイン、つまりシングルサインオン(SSO)とアカウント/パスワードの一元管理ができることが望まれます。さらにセキュリティの観点からは、SaaSへのアクセスを特定の経路のみに限定する、特定のデバイスのみに限定する、といったことも必要となります。

 本連載では、このような問題を解決できる「Windows Server 2016 Active Directoryフェデレーションサービス」(AD FS 2016)の紹介と、代表的なSaaSである「Office 365」とのSSO環境構築手順を説明します。

●SaaSに移行するときに考えるべきこととは

 これまで多くの企業では、メールやスケジューラー、ドキュメント管理など、情報共有を目的としたグループウェアを自社のオンプレミス環境に構築し、運用してきました。現在これらのグループウェアは、MicrosoftのOffice 365やGoogleの「G Suite」などのようにクラウド上に構築されているシステム、いわゆるSaaSとしても提供されています。

 SaaSはオンプレミスのシステムと比べて、ハードウェアやソフトウェア、構築作業費用などの初期導入コストと、ハードウェアやOS、ミドルウェアなどの運用保守コストを削減できます。そのため、オンプレミス環境からSaaSへ移行を進める企業は少なくありません。しかし移行において、事前に考慮すべき重要なポイントが2点あります。

・SaaSと企業内の既存資産、既存システムとの連携
・SaaSを導入することで起きるセキュリティの問題

○SaaSと企業内の既存資産、既存システムとの連携

 SaaSを社内に導入するとき、特に考慮が必要なのは、オンプレミスに構築している「既存のID管理システムとの連携」です。ほとんどのSaaSは、独自のアカウント管理機能を持っています。ID管理システムとSaaSのアカウント管理機能を連携することで、ユーザーはID管理システムに登録されているアカウントとパスワードを使って、SaaSにアクセスできます。またシステム管理者は既存のID管理システムで、アカウントとパスワードを一元管理できるので、業務負荷も軽減できます。

 もし連携しない場合は、SaaSごとに別のアカウントとパスワードを管理することになります。ユーザーは全てのSaaSのアカウントとパスワードを記憶し、SaaSを利用するたびに正しいアカウントとパスワードを入力しなければならず、利便性が著しく下がる懸念があります。また情報システム部門は、SaaSごとに発生するアカウントの作成、更新、削除などの業務に加え、ユーザーからのアカウントやパスワードなどに関する問い合わせにも対応しなければなりません。

○SaaSを導入することで起きるセキュリティの問題

 セキュリティの検討も重要です。SaaSはクラウド上で提供されているので、インターネットが利用できれば、いつでもどこでもアクセス可能です。例えばフリーWi-Fiといった安全が保証されていない場所からでも、社内システムにアクセスができてしまいます。しかし、そのようなアクセス方法ではセキュリティに問題があります。

 その問題は、SaaSへのアクセス経路を企業内のセキュリティポリシーに準拠して定義、適用することで解決できます。具体的には、企業は特定の経路からのアクセスのみ、SaaSの認証を許可することで、企業に許可されていない場所からの利用を禁止でき、セキュアな運用を実現できます。

●Active DirectoryフェデレーションサービスによるハイブリッドID管理の実現

○ハイブリッドID管理によるディレクトリの統合

 既存のID管理システムとSaaSのアカウント管理機能を連携、つまり「ディレクトリを統合する方法」は幾つかあります。ここではID管理システムへの変更を最小限にするため、ID管理システムを「マスター」にして連携する方法を3つ紹介します。本連載では、ID管理システムとして多くの企業で採用されている「Active Directory」を使って解説します。

○ディレクトリ同期

 まず紹介するのが、オンプレミス環境に構築されたActive DirectoryとSaaSのアカウント管理機能を同期する「ディレクトリ同期」という方法です。

 同期することで、ユーザーはActive Directoryで管理されているアカウントとパスワードを使って、社内アプリケーションやSaaSへアクセスできます。またActive Directoryで変更した内容はSaaSのID管理システムへ自動的に反映されるため、アカウントの一元管理が可能です。

 ディレクトリ同期は、環境構築が容易で、オンプレミス環境に同期プログラムを配置してアカウントを同期させます。しかしこの方法では、アクセス制御を実現できません。

○パススルー認証

 「パススルー認証」は、SaaSへの認証要求をオンプレミス環境に配置されたエージェントプログラムを介し、ID管理システムへ中継します。

 ユーザーは、Active Directoryで管理されているアカウントを使い、社内アプリケーションやSaaSへアクセスできます。エージェントプログラムを使い、ID管理システムのメタデータをSaaSのID管理システムへ反映できるため、アカウントの一元管理も可能です。さらにSaaSのID管理システムの設定で、特定の経路からのみアクセスを許可するといったアクセス制御も実現できます。

 比較的構成が容易で、オンプレミス環境に、多くのサーバを配置する必要がありません。Microsoftのクラウド型ID管理システム「Azure Active Directory」において対応が進められていますが、現状では、プレビューリリース段階です(2017年8月時点)。

○フェデレーション

 最後に紹介する「フェデレーション」は、SaaSの認証をオンプレミス環境のID管理システムへ委任する方法です。

 パススルー認証同様、ユーザーはActive Directoryで管理されているアカウントを使い、社内アプリケーションやSaaSへアクセスできます。またフェデレーションサーバにより、既存ID管理システムのメタデータをSaaSのID管理システムへ反映できるため、アカウントの一元管理も可能です。さらに特定の経路からのみアクセスを許可するアクセス制御もできます。

 認証フローにおいては、オンプレミスとクラウドの境界をまたいだSSOの実現を目的として策定された「SAML」「WS-Federation」などの認証プロトコルを利用しています。ほとんどのSaaSが、SAMLやWS-Federationといった認証プロトコルをサポートしているため、SaaSを拡充するときの対応が容易です。

●Active Directoryフェデレーションサービス(AD FS)

 本記事では、オンプレミス環境に構築されている既存のID管理システムを生かしながら、SaaSへのアクセス制御もできるフェデレーションを中心に説明していきます。

 先ほどSaaSの多くは、SAML、WS-Federationなどの認証プロトコルに対応していると説明しました。これらのプロトコルをオンプレミスに構築しているID管理システムに対応させ、ディレクトリを統合することで、オンプレミスとクラウドの境界を越えたID管理が可能になります。しかし、Active Directoryは、これらのプロトコルに対応していません。そのためActive Directoryとは別に、Active DirectoryをSAML、WS-Federationなどの認証プロトコルに対応できるように拡張する「Active Directoryフェデレーションサービス」(AD FS)を構築し、Active Directoryと連携させる必要があります。

 AD FSを使い、Active DirectoryとSaaSのアカウント管理機能をフェデレーションによってディレクトリを統合することで、オンプレミス環境とクラウド環境との境界をまたいだハイブリッドID管理を実現できます。

○AD FS機能概要

 では、オンプレミス環境に構築されたActive Directoryに対して、AD FSを構築し、Office 365のSSOを実現するにはどうすればいいのでしょうか。

 AD FSが構築された環境では、社内PCからSaaSへの認証は、AD FSを介してActive Directoryへ委任されます。この環境の場合、社内PCから社内アプリケーションへの認証に変更はありません。また社外PCからは、「Webアプリケーションプロキシ」を介して、AD FSへアクセスします。

 なお本連載では、「Windows Server 2016」で提供されている、AD FSとWebアプリケーションプロキシを使って説明していきます。

 一方、Office 365のID管理には、Azure Active Directoryが利用されています。Azure Active Directoryは、クラウド型のID管理システムです。SAML、WS-Federationなどの認証プロトコルにも対応しています。

 AD FSとAzure Active Directoryを連携することで、オンプレミスとクラウドのディレクトリを統合し、SSOを実現しています。

 AD FSの導入することで、「Active DirectoryユーザーアカウントによるSaaSへのSSO」や「特定の場所、特定のデバイスからのみに限定したアクセス」、「オンプレミス環境とSaaSでのアカウントの一元管理」を実現できます。

○AD FSアクセス制御ポリシー

 AD FSでは、特定の場所や特定のデバイスからのアクセスを制限する「アクセス制御ポリシー」を利用できます。アクセス制御ポリシーを利用すると以下のことが実現できます。

・特定のネットワーク経由からのアクセスのみを許可
・特定のグループに所属したアカウントからのみアクセスを許可
・特定のデバイスからのみアクセスを許可
・多要素認証

 またこれらの項目を組み合わせたポリシーも適用できます。

○Windows Hello for Businessによるパスワードを利用しない認証方法

 Windows 10は、「Windows Hello」という生体認証機能をOSレベルでサポートしています。Windows Helloは、指紋、虹彩、顔を認識することで、デバイスのロックを解除できます。

 さらに、Windows Server 2016とAD FSが構築された環境では、Windows Helloに「Microsoft Passport」という証明書ベースの認証プロトコルを組み合わせた「Windows Hello for Business」を利用できます。

 AD FSによってフェデレーションを実現した環境では、Windows Hello for Businessにより、アカウントとパスワードを利用することなく、ユーザーは社内アプリケーションやSaaSのSSO、デバイスロックの解除を実現できます。

●著者プロフィール
○増田裕正(Hiromasa Masuda)
富士ソフト MS事業部 フェロー
Microsoft関連の技術プロジェクトに数多く参画し、システムアーキテクトとして開発からインフラまで広範囲の技術領域に対応。日々進化するMicrosoft新技術領域において、最新技術の調査・検証を実施し、新ビジネス創出の推進に従事している。

最終更新:10/13(金) 8:00
@IT