企業がモバイルデバイスを活用するためのインフラストラクチャーとは?:新連載・これからのモバイル基盤(3/5 ページ)
ハイブリッド環境の認証
このように、オンプレミスのAD DSとクラウドのAADとを仮想的に合体させて1つのIdPとして構成することを「アイデンティティ フェデレーション」と呼び、それを実現した姿を「ハイブリッドIdP」と呼ぶ。ハイブリッドIdPによって、AD DSで正しく認証されたユーザーは、AADに接続されたクラウドサービスに安全にアクセスできるのだ。AADはOffice 365だけが利用するものではない。他社のSaaSをAADに関連づけたり、新しく開発する自社のクラウドサービスをAADに対応させることで、従来使用してきたActive Directoryドメインを廃棄したり管理を分断することなく、これまでと同じガバナンスをユーザーIDに対して適用し続けることができる。
このことはインフラを管理する社内IT部門において大きなメリットであることは言うまでもない。もちろん利用者側のメリットも大きい。社外からクラウドサービスにアクセスする場合であっても、WAPを経由して認証要求は社内に転送できるため、場所やアクセス先を問わず、いつでも、どこからでも、いつもと同じIDやパスワードを使用してリソースを利用することができる。
AD FSにより、Azure ADとオンプレミスADドメインのハイブリッドIdPを構成可能。これにより、オンプレミス、クラウドどもに、AD DSに登録されたユーザーIDで認証が行える。エンジニアの中には、「パスワードのみによる認証」に不安を感じる方もいるだろう。確かに、パスワードの管理が利用者に委ねられている以上、安全性のリスクは依然として存在している。本人確認の精度を高めるには確認事項を増やす必要がある。Active Directoryドメインでは、以前よりWindows Server の標準機能である「Active Directory 証明書サービス(AD CS)」が提供されている。
AD CSによって発行された「ユーザー証明書」をスマートカードなどに格納して追加認証要素として利用できる。最近ではPCの本体に実装されたTPM(Trusted Platform Module)に証明書を格納しておき、必要に応じて提示するという「バーチャルスマートカード」という方法も用意されている。この方法は、PC本体を所有していることが前提になるため、紛失しやすい物理的なスマートカードに比べて安全性を高められるというメリットがある。もちろんバーチャルスマートカードを提示する際にはPINコードを入力する必要がある。
もっとも利用しやすくお勧めなのは、有償の「Azure Active Directory 多要素認証プロバイダー」(Azure MFA プロバイダー)だ。Azure MFA を使用すると、利用者の携帯電話による電話認証を行える。利用者が認証画面でユーザーIDとパスワードを入力した後、Azure MFA プロバイダーから自動応答の電話がかかってくる。もちろん日本語で利用できる。利用者はそのメッセージに従って携帯電話やスマートフォンを操作すると認証が完了する。インスタントメッセージ(IM)が利用可能な機種であれば、Azure MFAプロバイダーから送信されるPINコードを認証画面に入力することもできるし、無償のスマートフォン用のアプリをインストールすることでワンタイムパスワードを受信することも可能だ。
これらの方法を利用し、システムは利用者が確実に本人であることを認証することができる。Azure MFAのメリットはアプリケーションに依存しない点だ。あくまでもユーザーがAD DSやAzure ADによる認証をトリガーとして呼び出されるため、アプリケーション側に手を入れる必要が全くない。AD FSを使用すれば、社外から個人デバイスでアクセスしてきた場合には追加認証を行うといった制御が可能だ。
Azure ADでAzure MFAを有効にすると、認証時の追加要素としてスマートフォンを使用することができる
AD FS と Azure MFAを組み合わせることで、多要素認証を利用する際の条件制御が行えるここまでの内容を簡単にまとめておこう。ユーザーIDのモビリティを実現するための大前提は Active Directoryドメインによる、オンプレミスでのユーザーID管理だ。セキュリティのもっとも重要な要素であるユーザーIDは企業のファイアウォールの内側でしっかりとガバナンスを効かせるのが良いだろう。そして、社外からの認証要求を受け取るためにWAPとAD FSを設置する。いずれもWindows Serverの標準機能なので特別な費用は必要ない。クラウド上のサービスは、クラウドのために用意されたIdPであるAADを使用する。
ただし、AAD単独で認証を行うのではなく、オンプレミスのAD FSを介してハイブリッドIdPを構築しよう。これによって、クラウドサービスへのアクセスに対してもAD DSによるユーザー認証を利用できる。ユーザー認証を強化するにはAzure MFAによるスマートフォン認証がお勧めだ。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- SharePointのダウンロードイベントログを回避する2つの手法が見つかる
- Rustの標準ライブラリにCVSS 10.0の脆弱性 任意のシェルコマンドを実行されるリスク
- キヤノンがグローバル330社の経営管理基盤を構築 連結決算を合理化した方法は?
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- AI導入はカンタン? 調査からセキュリティ専門家たちがナメている可能性があると判明
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 「テクノロジー乱立問題」に立ち向かう 自社標準を決める“とってもシンプルな方法”とは?
- Copilot for Securityはどう使えばいい? マイクロソフトがプロンプトの例を公開
ITmediaはアイティメディア株式会社の登録商標です。