Azure Active Directory (Azure AD) とはAzureの中で、「認証」と「認可」の機能を提供するサービスです。最近ですと、様々なクラウドサービスを利用する機会も多いと思いますが、各種クラウドサービスを利用する度に「IDの運用管理」が発生していては、せっかく便利なクラウドサービスが縁遠くなっていきますよね。
そこで、登場するのがクラウドベースの認証基盤「Azure Active Directory」という訳です。
Azure Active Directory を利用すれば、ID管理を一箇所にまとめる事ができます!!
各種クラウドサービスの認証を引き受けます!!
※名前が似ているので紛らわしいのですが、「Active Directory ドメイン サービス (AD DS)」とは全くの別ものです。ケルベロス認証、グループポリシーは「Azure Active Directory」では利用できません。
次のような方法で各種クラウドサービスと認証連携を行ないます。
【Microsoft Azure AD のシングル サインオン】
Azure ADとクラウドサービス間でフェデレーション設定が必要となります。
下記、認証プロトコルに対応していれば利用できます。
- OAuth 2.0
- OpenID Connect
- WS-Federation
- SAML 2.0
【パスワード シングル サインオン】
あらかじめ、Azure ADに「ID&パスワード」を登録しておくことで、シングルサインオンを実現します。多くのクラウドサービスで利用できます。
ここで気になる点があります。各種クラウドサービスのID管理を Azure AD で集中管理できたとしても、Azure AD でのID管理が発生してしまいます。これではスマートではありません。
ID管理と言えば、「Active Directory ドメイン サービス (AD DS)」が既にあるかと思います。この ADDS から Azure AD に対して、ディレクトリ同期やフェデレーションができれば、運用負担無しで認証領域をクラウドにまで拡大できます!!
【ディレクトリ同期】
ディレクトリ同期(Azure Active Directory Connect) サーバーを設けることで、ADDS と Azure AD に対してユーザーやグループを同期させる事ができます。
ユーザー視点で見ると、ドメインに参加する際に、ADDS にログオン。クラウドサービスを利用する際には、Azure AD にログオンするので、二度のログオンが発生します。
【フェデレーション】
フェデレーション(Active Directory Federation Services) サーバーを設けることで、ADDS での認証結果を Azure AD と連携させる事ができます。
ユーザー視点で見ると、ドメインに参加する際に、ADDS にログオン。クラウドサービスを利用する際には、Azure AD に対して発行済みトークンを使って認証をスキップするため、シングルサインオン環境が出来上がります。
おまけ
近い将来、クラウドサービスが中心となった際には、ADDS での認証を必要としないかもしれません。その際には、「Windows 10」搭載デバイスであれば、Azure AD に参加する事ができるのでシングルサインオン環境が簡単に実現できます。