先日、クラウドコンピューティングの概念を簡単に記載しました。
業務でインフラエンジニアとしてサーバ・ネットワークのプロジェクトを行っています。
ここ数年ではMicrosoft365が普及するにつて、Azure Active Directory との連携するプロジェクトを担当してきました。
「連携する」というのを説明しますと、オンプレミス Active Directory とクラウド(Microsoft365)とのユーザー名を互いに利用すること(ID連携する)を意図しています。
このID連携することでサードパーティ製のアプリケーション認証が実現できたりします。
こういったクラウドサービスとオンプレミス環境との連携・同期といった方式は今後ビジネスでは必須となってきています。
具体例をあげると、リモートワークが普及してきたことで、クラウドのアプリケーション(たとえば、Microsoft365、Salesforceなど)へ移行してきています。
ユーザー管理の運用者から見て、オンプレミス環境(社内環境)で利用していたアプリケーションのユーザーIDは増え続け、適切に管理できなくることがあります。
そこで、アプリケーションベンダーもアプリケーションへのアクセス権をクラウド認証サービスと連携させる方向にすすんでいます。
こういった状況で Microsoft のAzure Active Directory を使うことで、ID ソリューションが実現できます。
つまり、社内・リモートワークなど場所に関係なく、すべてのリソースに対する認証と承認のための共通ユーザーIDがあれば便利になります。この共通ユーザーIDを ハイブリッドIDと呼んでいます。
Azure観点になりますが、このハイブリッドIDの構成する方式について紹介します。
ハイブリッドID実現の方法
オンプレミスとAzureとのハイブリッドID実現には「クラウド認証」「フェデレーション認証」の2つの方式があります。それぞれ見てみましょう。
クラウド認証
クラウド認証というのは 「Azure AD がユーザーのサインインプロセスを処理する」認証方式です。
クラウド認証では、2 つのオプション「パスワード ハッシュ同期 (PHS)」「パススルー認証 (PTA)」が存在します。
SSO(シングルサインオン)と組み合わせると、クラウドアプリにもサイインできます。
クラウド認証:パスワード ハッシュ同期
「パスワードハッシュ同期」はAzureでパスワードを同期しているので、そのままAzureでの認証ができます。
Azure AD Connect の機能を利用して、オンプレミス Active Directory から Azure AD にユーザーのパスワードのハッシュを同期します。
この機能を使うことで、Microsoft 365 などの Azure AD サービスにサインインすることができます。 パスワードはオンプレミスの Active Directory で利用するものと同じです。
パスワード ハッシュ同期のしくみについては、Microsoftの公開情報に詳しく記載されています。
https://learn.microsoft.com/ja-jp/azure/active-directory/hybrid/connect/how-to-connect-password-hash-synchronization
クラウド認証:パススルー認証 (PTA)
「パススルー認証」はオンプレミス Active Directory に認証を行う方式です。
アプリケーションにサイインする際は、オンプレミス Active Directory に認証を検証してAzure AD へ回答します。
たとえば、ユーザーがアプリケーションを利用しようとする場合、Azure AD へ認証を問合せたとします。その問合せに対して、認証エージェントと呼ばれる機能がオンプレミス Active Directory へユーザー名・パスワードを検証し、Azure AD へ回答します。
その後、Azure AD 側がユーザーに応答し、適切に処置します。サイインが成功すると、アプリケーションが利用できます。
フェデレーション (AD FS)
フェデレーション方式では、ユーザーはオンプレミスActive Directory のパスワードを使用して Azure AD ベースのサービスにサインインできます。
Azure AD Connect を使用することで、 オンプレミスの Active Directory フェデレーション サービス (AD FS) と Azure AD でフェデレーションを構成できます。
認証パターン
認証パターンをまとめると以下の表になります。
どの構成にも Azure AD Connect サーバは1台以上必要です。
| 項目 | パスワード ハッシュ同期 + SSO | パススルー認証 + SSO | フェデレーション |
|---|---|---|---|
| 認証 | Azure | Azure +オンプレミス | オンプレミス |
| サーバ要件 | なし | 認証エージェントサーバー | AD FS サーバー(2台以上) WAP サーバー(2台以上) |
| シングル サインオン | シームレス SSO | シームレス SSO | はい |
| サインインの種類 | ・UserPrincipalName + パスワード ・SSO を使用した Windows 統合認証 ・代替ログイン ID | ・UserPrincipalName + パスワード ・SSO を使用した Windows 統合認証 ・代替ログイン ID | ・UserPrincipalName + パスワード ・sAMAccountName + パスワード ・Windows 統合認証 ・証明書とスマート カード認証 ・代替ログイン ID |
Microsoftの公式YouTubeから:
まとめ
AzureとオンプレミスとのハイブリッドIDの認証についてまとめてみました。
公開情報を理解するのは非常にむつかしいですが、読み解くことでどのような認証が可能なのかというのがわかってきます。
もちろん、時間がかかることなので動画教材での学習をするのもおすすめです。
文章を読むのはたいへんですので、動画を見て理解がしやすくなります。
