クラウド・モバイル時代におけるActive Directoryの認証とは?これからのモバイル基盤(2/3 ページ)

» 2015年02月12日 08時00分 公開
[野明純,ITmedia]

Azure ADとは?

 Azure ADは、前述したフェデレーション認証や多要素認証の仕組みをサービスとして提供され、SaaSアプリケーションとの認証連携、多要素認証の仕組みを容易に実現する。いわゆる「IDaaS」(IDentity as a Service)」というべき仕組みだ。

 Azure ADを利用することで具体的に、企業では自社内にフェデレーションの仕組みを構築することなく、SaaSアプリケーションとの連携が可能になるほか、社外からの利用時、モバイルユーザーに対して認証の仕組みと多要素認証の仕組みを提供できるようになる。また、Azure AD には多くの機能と幾つかのエディションが存在する。

機能1:Webアプリケーション連携

 Azure ADのアカウントでサインインするだけで、組織で独自に開発したアプリケーション、Azure AD に登録された3rdパーティーアプリケーションに対し、SSOシングルサインオンできる機能である。登録されている3rdパーティーアプリケーションは本稿執筆時点で2400を超えており、マイクロソフトのSaaS(Office 365、Dynamics CRM Online、Windows Intuneなど)以外にもSalesforce、Google Apps、Boxなども登録されている。Azure ADではこれらアプリケーションと2種類のSSO方式をサポートしている(図1参照)。

図1:Azure ADと連携可能な3rdパーティアプリケーション(一部抜粋)

機能2:フェデレーションベース SSO

フェデレーションサービスによるID連携機能を利用。Azure ADにサインインすると、トークンが発行され、そのトークンを利用しさまざまなアプリケーションにアクセスする仕組みとなる。

機能3:パスワードベース SSO

 ユーザーが利用するSaaSアプリケーションのユーザーID、パスワードをあらかじめAzure ADに登録しておく方法。Azure AD経由でSaaSアプリケーションを利用すると、あらかじめインストールされたWebブラウザのアドインから代理で自動入力させる。また、連携アプリケーションの幾つかはユーザープロビジョニングの機能もサポートしており、Azure AD上のユーザーに対してアプリケーションの割り当てを行うと自動的に3rdパーティーアプリケーション上にIDがプロビジョニングされる。

機能4:オンプレミス ADとの連携

 Azure AD上で直接ユーザーの作成でき、オンプレミスのADとも連携することもできる。ディレクトリ同期ツール(DirSync)をオンプレミスのサーバーにインストールすることで、オンプレミスADのユーザー、グループ情報をAzure AD上と同期する。

機能5:アクセスパネル

 Webベースのアプリケーションポータルを提供し、管理者がAzure ADとアプリケーション連携の設定を行ったアプリケーションがアイコンの形で表示される。この表示はユーザー、グループでのアクセスコントロールが可能であり、ユーザー毎に利用可能なアプリケーションの表示/非表示が可能である。また、セルフサービスでのグループ管理も可能である。Azure AD上に作成したグループへの参加をユーザー自身がリクエストし、グループオーナーの承認後にグループへ参加できる(図2および3参照)。

図2(左)と図3:アクセスパネル

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ