この記事をtweetする このエントリーをはてなブックマークに追加

掲載日 2013/08/05

ザ・キーマンインタビュー クラウド時代に適したActive Directoryの使い方

Active Directoryは企業のユーザ管理、アクセス制御を担う仕組みとして、広く浸透している。更に、導入が進むクラウドサービスへの対応など、Active Directoryの適用範囲は大きく広がってきた。これからもActive Directoryを活用していく上で知っておくべき点とは?ITトレーニングを手がける株式会社ソフィアネットワークの取締役 副社長であり、自らもMicrosoft MVP for Directory Services、マイクロソフト認定トレーナーなどの資格を有する国井傑氏にお話を伺った。

株式会社ソフィアネットワーク 企業サイトへ

国井 傑 氏

取締役 副社長
国井 傑 氏

Windows Azure Active Directory利用時に注意すべき点

Question

システムのクラウド移行といったITの環境変化を受けて、企業のユーザ認証/アクセス制御管理においてはどのような課題やトレンドが生じていると言えますでしょうか?

Answer

株式会社ソフィアネットワーク:国井 傑 氏

企業のシステムでは、Active Directoryドメインサービスを利用、つまり、オンプレミスにActive Directoryサーバを展開し、認証を行うというかたちが浸透しています。しかし、クラウドサービスやBYODなどへの対応が迫られる中で、その認証の仕組みを企業の外でも適用したいというニーズが生じてきました。その際、少し無理やりではあるものの、Active DirectoryへVPN接続して認証を行うという方法も考えられるのですが、企業で利用されるデバイスは多様化しており、VPN接続に対応できないものもあるでしょう。そうした理由により、多くの企業ではActive Directoryを社内だけに置くことの限界を感じつつあり、何かほかの認証の仕組みを求めている状況だと言えるでしょう。

Question

ただ、せっかくActive Directoryをベースに社内システムを構築してきたのだから、まったく新しいものに入れ替えるのは望ましくないと考える企業も多いわけですよね?

Answer

そうです。ですから、まず1つの方法としては、社内のActive Directoryはそのままにして、Windows Azure Active Directory(WAAD)をクラウドの認証基盤として活用してもらうというのが、マイクロソフトの考え方だと思います。そのためにWAAD同期ツールが用意されており、既存のActive Directoryの情報をWAADへと同期させることが可能です。ただ、同期ツールがあるからといって、そうした環境が容易に実現できると安易には考えないほうがいいでしょう。当然ながら、同期ツールに関する知識はもちろん、Active Directoryそのものに対する正しい理解が、これまでにもまして非常に重要になってくると思います。

 1つ例を挙げると、この同期ツールをマイクロソフトの推奨設定のままで導入すると、Active Directoryのすべてのユーザ情報がそのまま同期されますが、実際にはクラウドの認証が必要なユーザとそうでないユーザが存在しますから、選択して同期を行うことが望ましいわけです。また、同期後にユーザを削除する場合には、どちらの情報から削除すべきか、どのような手順を踏むべきなのかといった点に悩むかもしれません。Active Directoryのアーキテクチャや動きなどをしっかりと理解していなければ、構築はなんとかうまくできたとしても、その後の運用で大きなトラブルにつながる可能性がありますから、付け焼刃ではなく、これを機にしっかりと知識を身につけるべきでしょう。

図1 Windows Azure Active Directoryのアカウント管理方法
図1 Windows Azure Active Directoryのアカウント管理方法
出典:ソフィアネットワーク、2013年8月

Question

現在、Active Directoryで認証を行う場合、いくつものパターンが考えられるわけですよね?

Answer

従来型のActive DirectoryドメインサービスやWAADのほかに、Windows Azure VMを利用したActive Directoryの運用(Active Directory on WAVM)や、Active Directoryフェデレーションサービス(ADFS)などが利用可能です。WAADは、クラウド上でPaaSとして提供される認証基盤で、もともとはOffice365の認証に必要なID情報を格納しておくものでした。ですから、決して社内で展開しているActive Directoryを置き換えるものではなく、あくまでも、その一部の機能のみを利用できるサービスととらえるべきです。

 しかし、その一方で、対象となるアプリケーションが、Windows Azure、Dynamics CRM Online、Windows Intune、更にはサードパーティクラウドサービスへと拡大されてきました。先ほど紹介したようにオンプレミスのActive Directoryと同期させることで、社内のアプリケーションだけではなく、WAADのユーザ認証さえ行えば、クラウドサービスにも既に設定済みのポリシーや制御を適用でき、SkypeやSalesforce、Evernoteなどのクラウドサービスへもアクセス可能な仕組みを構築できるわけです。また、Windows Azure Active Authenticationを組み込むことで、電話、テキスト メッセージ、モバイル アプリケーション、ワンタイム パスコードなどを用いた、いわゆる多要素認証にも対応可能になります。


このページの先頭へ

Active Directoryフェデレーションサービスによるシングルサインオンの実現

Question

Windows Azure VMでActive Directoryを運用する場合、どのような用途が主に考えられるのでしょうか?

Answer

株式会社ソフィアネットワーク:国井 傑 氏

まず、最も基本的なのは、クラウドに展開したアプリケーションの認証基盤としての活用でしょう。同じIaaS、つまり、Windows Azure上のVMとして展開したWebアプリケーションの認証基盤として利用するというものです。また、既存のActive Directoryデータベースのレプリケーション先として構築しておけば、オンプレミスのActive Directoryに対するディザスタ・リカバリ(DR)サイトとして活用可能です。そのほかには、海外拠点などの遠隔地に対するドメインコントローラとして動作させるという使い方もあるでしょう。クラウドにActive Directoryを配置して大丈夫なのかという疑問もあるかもしれませんが、ポートマッピング機能を利用することで、Windows Azure VMへの接続は制限されます。また、サイト間VPN接続を導入して、ネットワーク接続の安全性を確保することも可能です。

Question

ADFSによる認証を導入するメリットはどのような点にあるのでしょうか?

Answer

先ほど、オンプレミスのActive DirectoryとWAADの同期を行うことで、既存のActive DirectoryのID情報を用いて、様々なサービスへのアクセスが可能という話をしました。このやり方はシステム的には非常に手軽ですが、あくまでも同じユーザ名とパスワードでアクセス可能というだけで、ユーザはActive Directoryにログオンしていたとしても、WAADのほうでもユーザ名とパスワードを再度入力しなければならないというデメリットもあります。

 これに対して、本当の意味でのシングルサインオンを実現したい場合には、Active Directoryに登録されているユーザ情報をもとに、そのままクラウドサービスの認証を行ってくれる仕組みが必要になります。そのためには、Active Directoryドメインサービスに加えて、ADFSサーバを社内に立てればいいのです。ユーザがActive Directoryドメインサービスにログオンしさえすれば、そのユーザ情報をもとにADFSがトークンを発行し、それを提示しさえすれば、クラウド/オンプレミスを問わず、連携するアプリケーションにシングルサインオンが可能になるという仕組みです。ただ、ADFSサーバの導入・構築・運用に関しては、まだまだIT業界全体で見た場合、ノウハウが蓄積されていません。仮に外部に委託したとしても、頼まれた側がその時点で初めてADFSについて情報収集を行うなどという笑えないケースもあるようですから、全体的に知識を底上げしていく必要があると感じます。

図2 Active Directoryフェデレーションサービスを利用したシングルサインオン
図2 Active Directoryフェデレーションサービスを利用したシングルサインオン
出典:ソフィアネットワーク、2013年8月

このページの先頭へ

クラウドのアクセス制御を取り込み、発展し続けるActive Directory

Question

ADFSはオンプレミス導入が前提になるのでしょうか?

Answer

株式会社ソフィアネットワーク:国井 傑 氏

基本的にはそうです。ただ、選択肢は増えてきており、 Windows Azureが提供するアクセスコントロールサービス(Access Control Service=ACS)もトークンを用いた認証を行うもので、端的に言えば、クラウド上のADFSサーバととらえることができます。ACSではActive Directoryで認証を行う以外に、FacebookやGoogle、Yahoo!のアカウントによる認証も可能ですから、エンドユーザに自社のサービスを提供する場合に活用されるケースもあるようです。また、まだ導入事例はさほど多くないようですが、Windows Azure上のVMにADFSサーバを実装して提供するサービスも出てきています。

Question

Windows Server 2012では、Active Directoryがどう変わったか、どのような方向性で機能拡張が図られていると感じますか?

Answer

機能面ではダイナミックアクセス制御の追加が非常に大きな変化だと言えます。これはユーザの属性情報にもとづいて、ファイルやフォルダへのアクセス可否を判定する仕組みです。これまでは、ユーザのアクセス制御を行う場合、1人ひとりに対して個別に設定せずに済むよう、グループを作成して、その単位でアクセス制御を行うというのが基本的な考え方でした。しかし、結局のところ、グループは役職や部署、勤務地などにもとづいて作成されるケースがほとんどで、「課長以下にはアクセスを許可しない」「経理部ならアクセスを許可する」といった使われ方をしているのが実情と言えます。だったら、わざわざグループを作らなくても、Active Directoryから「どの部署に属しているのか」「役職は何か」「どの場所に勤務しているのか」といったユーザ情報を引き出して判定したほうが効率がいいというわけです。

 ダイナミックアクセス制御では、先ほどのADFSと同様に、ログオンしたユーザの情報などが含まれるトークンを発行し、簡単に言えば、ファイル共有にアクセスする際にそのトークンを参照するような仕組みです。このように、そのユーザがどういう人なのかを判定して、それをもとにアクセス制御を行うというのは、既にクラウドの世界では主流になっています。マイクロソフトとしては、これまで企業内で浸透させてきたActive Directoryに、クラウドと同様のアクセス制御の仕組みを取り込んでいこう、更にクラウド上のアクセス制御で標準仕様が策定された場合には、それにも対応していくことを考えているのではないかと思います。

 冒頭で述べたように、これまで苦労してActive Directoryの社内構築に取り組んできた企業が、クラウドサービスの認証もその延長として構築するための受け皿は既に用意されていますし、更に様々な利用形態に対応できるよう、許容される実装方法の幅も広がっています。その分、導入する側は選択に悩むケースが増えているかもしれませんが、しっかりと知識を身につけて、将来も含めて自社の環境に適した実装を行ってほしいと思います。


●ありがとうございました。


取材協力

株式会社ソフィアネットワーク 企業サイトへ

人材育成・研修サービス、人材派遣サービス、ITトレーニングの実施などを主な事業として展開。顧客専用のStrategy planning team(戦略立案チーム)を構成し、事業拡大にともなう人材の教育や企業内の教育コンテンツの開発など、要望に合わせたサービスを提供している。


このページの先頭へ



◆関連記事を探す

ID管理/クラウド時代のActive Directoryの使い方」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「ID管理」関連情報をランダムに表示しています。

ID管理」関連の製品

ID管理ソリューション 結人・束人 【インテック】 SSOcube 【ネットスプリング】 Entrust Datacard -Secure Trandactions 【エントラストジャパン株式会社】
ID管理 シングルサインオン ID管理
システムごとに存在するID情報の一元管理を実現する。異なるシステム間のデータ同期に加え、ID情報のライフサイクルを管理し、煩雑なID管理業務の負担を軽減する。 シングルサインオン、ID管理・認証機能まで、オールインワンで実装したシングルサインオンアプライアンス。
◎低コスト化を実現、導入・運用管理も容易。
自動車の内部コンポーネントへの攻撃を防ぐID認証技術とは?

ID管理」関連の特集


生体情報を認証手段に利用したいものの、経年変化や情報保管に大きな課題が。そんな悩みを解決する「生体情…



総額約30億円の未払い残業代の支払いや数億円の未払い賃金が判明したケースなど、勤怠管理の不備や不正に…



 「いまどきのシングルサインオン事情:第1回」では企業向けシングルサインオンの動向について解説した。…


ID管理」関連のセミナー

PwC主催ID管理セミナー「クラウド時代のIT統制〜」 【PwCコンサルティング/エヌ・ティ・ティ・ソフトウェア】 締切間近 

開催日 3月3日(金)   開催地 東京都   参加費 無料

NTTソフトウェアでは、2017年3月3日(金)にPwCコンサルティング 本社ビル(丸の内)セミナールームにて開催されるPwC主催の「クラウド時代のIT統制〜S…

Office 365ハンズオンセミナー【Office 365の基礎】 【カコムス】 締切間近 

開催日 3月3日(金)   開催地 大阪府   参加費 無料

大変ご好評頂いておりますOffice 365・Microsoft Azure・SharePoint Onlineハンズオンセミナーを、カコムス大阪本社にて3月も…

事例から学ぶ特権ID・監査ログ管理実践セミナー 【NRIセキュアテクノロジーズ】  

開催日 1月12日(木),2月10日(金),3月9日(木)   開催地 東京都   参加費 無料

IT全般統制の不備に対する監査法人からの指摘への対応、PCI DSS認定時のアクセス管理要件への適応、リモート作業時のアクセス制御・ログ取得など、現在様々な要件…

「サーバー」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30006492


IT・IT製品TOP > Windows Server 2012 > サーバー > Windows > WindowsのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ