Microsoft Azure(クラウドプラットフォームサービス)上の認証サービスとして提供されているAzure AD。2000年にリリースされたWindows 2000 Serverで初めて実装されたActive Directory。両方ともID管理やシングルサインオン(Single Signe On:SSO)を可能にするための機能を提供し、数多くの企業が使用しています。しかし、Azure ADとActive Directoryとでは何が違うのか?を、明確に理解している方は少ないかもしれません。もしくはActive Directoryを運用していてAzure ADに興味がある方もいらっしゃるのではないでしょうか。
本記事では、Active DirectoryとAzure ADの違いについてご紹介します。
Active Directoryってなに?
まずは、Active Directoryの概要を説明していきます。
1990年代からクライアント/サーバシステム(社内システム用サーバーと複数のクライアントPCを接続するシステム構成)が台頭するようになり、不特定多数のユーザーが同じ社内システムを共有する時代に突入します。社内システムの中には、組織の人間なら誰でもアクセス可能なデータもあれば、一部の人間しかアクセスできない機密性の高いデータもあります。後者のデータにすべての人間がアクセスできてしまうと、セキュリティ上問題になることは言うまでもありません。
そこで、システムやデータごとにアクセス権限がある人かどうかを判断するために「認証」という仕組みが必要です。Active Directoryとは、Windows Serverをベースにした社内システムにこの認証機能を実装する役割があり、「ユーザー名(アカウントID)」と「パスワード」をセットにアクセス管理をするプラットフォームとして一世を風靡しました。
そしてActive Directoryのもう1つの中核的な役割が、ユーザー名やパスワードを何度も入力しなくても済むように、ユーザー1人あたりがアクセスできる社内システムはデータ範囲を「ドメイン」として管理し、1回の認証作業だけでドメイン内の社内システムやデータにアクセスできるようにすることです。これをシングルサインオンと呼び、2000年当時Active Directoryの目玉機能として紹介されました。
2つ以上の異なるドメインはどうなる?
2000年代前半になると、国内企業のM&A取引件数が急速に増加します。1980年後半には年間平均232件だったM&Aは、2000年代残半では年間平均1497件に達しました。あらに、2017年には3,000件を超え過去最高をマークしています。M&A取引件数が増えると困ることが1つ。会社が合併してもActive Directoryのドメインは合併できずに、別々に運用されたままになるという問題でした。そこでActive Directoryには、信頼関係という機能によって2つのドメインを結び付けて、両方のドメインにシングルサインオンが可能な方法を用意しています。
Azure ADってなに?
すでに察している方も多いでしょう。Azure ADとは、前述したActive Directoryをクラウドベースで提供するマイクロソフトが提供する認証サービスであり、Azure Active Directoryの略称です。
近年では社内システムに限定せず、ビジネスシーンでのシステム使用範囲をクラウドサービスに拡大するケースが増えています。クラウドサービスは「いつでもどこでもアクセス可能」「拡張性/収縮性が高く柔軟」「物理メンテナンスが不要」などのメリットから急速に普及して、今では従来の社内システム環境(オンプレミス)とクラウドサービスを複合した複雑な環境が構築されています。
Active Directoryではクラウドサービスと社内システムのシングルサインオンを実装するために、ADFS(Active Directory Federation Service)という機能が備わっています。しかし、この機能ではADFSサーバーやADFSプロキシ、DirSyncやForeFrontなど複数のサーバーを社内に立ち上げる必要があり、管理が複雑になるという難点があります。
そこで登場したのがAzure ADです。Microsoft Azure上で提供される認証サービスなら、Active DirectoryのADFSでは必要だった複数のサーバーを、Azure ADを契約するだけで画一的に提供されるため、クラウドサービスにおけるシングルサインオンをごく簡単に実装できます。
さらに、Active Directoryにて従来から管理してきたドメインとAzure ADドメインを連携させることも可能なので、全体的なシングルサインオンも可能にします。
Microsoft Azureとは何か?入門から応用まで徹底解説
Azure ADとActive Directoryを連携させるには?
では、Azure ADとActive Directoryを連携させるにはどうすればよいのか?最後にその方法をご紹介し、終わりにしたいと思います。
2つの異なる認証サービス・認証システムを連携するには「Azure AD Connect」と呼ばれる、認証基盤統合ツールを使用します。
設定手順を大まかに説明しますと、ドメインに参加済みのAzure AD Connectサーバーを用意し、ローカル管理者としてログインしてダウンロードページよりAzure AD Connectを入手します。ダウンロードファイルを実行したら「簡単設定を行う」を選択し、Azure AD Connectに必要な設定を自動的に行います。
次に、Azure ADに接続するために全体管理者権限を持ったユーザー情報を入力して、さらにActive Directoryドメインに接続するためにEnterprise Admins権限を持つユーザー情報を入力します。最後に、インストールを実行して完了です。
このように、非常にシンプルな方法でAzure ADとActive Directoryを連携し、オンプレミスとクラウドをまたいだシングルサインオン環境を構築できます。2つの認証サービス・認証システムを連携することで労力とコストを抑え、利便性とセキュリティ性の高い認証基盤が作れますし、IT管理者の負担も軽減されます。ちなみにOffice 365やDynamics 365を契約している場合、すでにAzure ADの使用権限が付与されているので、該当する場合はぜひAzure ADとActive Directoryの連携を行ってみてください。
