フェデレーション信頼とActive Directoryの信頼関係

ADFSのTips集として、これまでにいくつか投稿してきましたが、
今回は趣向を変えて、フェデレーション信頼とActive Directoryの信頼関係について紹介したいと思います。

■Active Directoryの限界

企業の中でActive Directoryを利用するメリットは、色々ありますが、
その最たるものは、何と言っても「シングルサインオン」でしょう。
新入社員向けの研修テキストなどでは、シングルサインオンの素晴らしさを説明するために、
ワークグループとドメインの違いという解説が引き合いに出されるのですが、
そこでは、このような図を見かけます。

ワークグループを紹介する図の例

ドメインを紹介する図の例

「ドメインの場合、ドメインコントローラで一度認証すれば、ドメイン内のサーバーに
アクセスするために再度認証する必要はなくなります。」

こんな説明をテキストなどでよく見かけます。
Active Directoryドメインを利用したシングルサインオンは企業のユーザーが
アクセスするリソースが企業の中にある時代には、とても便利な仕組みだったのですが、
最近はリソースが企業の外にあることも多くなってきています。

クラウドでは当然のことながら、
Active Directoryとは異なるディレクトリサービスを持ち、
Active Directoryとは異なる認証を実装しているので、
Active Directoryで認証を済ませても、クラウドでは別途認証が必要となるのです。

Active Directoryにもシングルサインオンできる範囲を拡張する機能として「信頼関係」がありますが、
信頼関係を使って、1度の認証でアクセスできる範囲を拡張できるのはActive Directoryのみであり、
残念ながら、信頼関係ではクラウドとのシングルサインオンはできないのです。

■Active Directoryをベースにシングルサインオンできる範囲を拡張する方法

では、Active Directoryの信頼関係がクラウド時代には使い物にならないからと言って、
Active Directoryを捨てるしかないのでしょうか？
いくらクラウドの時代と言っても、これまでに築いてきたITインフラもあることですし、
さすがにActive Directoryを捨てるのも現実的な選択肢ではないと思います。
そうなると、使い慣れたActive Directoryをベースに、シングルサインオンできる範囲を
クラウドまで広げていくというのが現実的な選択肢になると思います。

例えば、マイクロソフトが提供するADFS2.0を利用する場合、
クラウドのリソースとADFSサーバーの間で「フェデレーション信頼」という信頼を設定しておくことで、
Active Directoryで認証するだけで、ADFSサーバーを経由して、クラウドのリソースに対する
シングルサインオンが可能となります。

クラウド時代において、Active Directoryの信頼関係はもう使う機会が
めっきり少なくなってしまったけれど、Active Directoryの脇にADFSサーバーを
一台置いておけば、それだけでシングルサインオンできる範囲をぐっと広げることができるのです。

今日は仕組みとか、そういう細かい話はしませんでしたが、
次回は、フェデレーション認証だと、
どうしてシングルサインオンの範囲を広げられるのかについて解説してみたいと思います。
また、私が登壇しているトレーニングコースでも紹介させていただいているので、
ご興味があれば参加してみていただければと思います。