もうひとつのID連携 ~ Microsoft Azure Active Directoryとは?

これまで当ブログでは、ADFSを利用したID連携(フェデレーション)について、色々と紹介してきました。
そして、ADFSは「Active Directoryフェデレーションサービス」の略であることからもわかるように、Active Directoryドメインを保有していることを(基本的に)前提としたID連携の仕組みでした。

一方、Active Directoryドメインを持っていないという組織でもID連携を行いたいというニーズも世の中には存在します。既存の仕組みとしてTwitterやFacebookで認証して、様々なサービスにアクセスするという方法はありますが、組織で使うIDとしては管理者が一元管理できないという点でいかがなものか?という疑問があります。

そこで、
Active Directoryドメインはないけど、管理者がまとめてID管理できる仕組みは欲しい
というニーズに応える形でMicrosoft Azure Active Directoryというキーワードが最近私の周りで出てくるようになりました。

■ ■ ■

イメージとしては、こんな感じです。
ADFSを利用してID連携する場合、Active Directory(ADDS)で認証を行い、
ADFSでトークンを発行(認可)してもらい、
トークンを使ってアプリ(クラウドのサービス)にアクセスする、
という流れでしたが、

image

Microsoft Azure Active Directoryでは、
自社内にActive Directoryを持っていなくても、Microsoft Azure Active Directory自身が
ディレクトリサービスとなるため、
Microsoft Azure Active Directoryのユーザー名とパスワード入力して認証すれば、
あとはOffice365でも、Salesforceでも、Google Appsでも、どこへでも行けます。
例えば、Salesforceの場合、Microsoft Azure Active Directoryで認証すると、
Salesforceにアクセスするためのトークンを発行(認可)してもらい、
トークンを使ってSalesforceにアクセスする、 という流れになります。

image

繰り返しになりますが、
Microsoft Azure Active Directoryを使えば、クラウド上に組織のユーザーアカウントをすべて作成しておくことができ、ユーザーはMicrosoft Azure Active Directoryに保存されているユーザー名とパスワードを入力するだけで、Microsoft Azure Active Directoryに関連付けられた様々なクラウドサービスにアクセスできるようになるというメリットがあります。
(一般にシングルサインオンと呼ばれる仕組みですね)

クラウド化に伴い、「もう会社にサーバーを置きたくない」というニーズは様々なところで聞きますが、
ID管理に関してはMicrosoft Azure Active Directoryを利用することによって、これまでActive Directory+ADFSで提供していたような機能の一部(全部じゃありません!)が
サーバーレスで実現できるようになるわけです。

※実装の参考サイト
Office365のシングルサインオン(by MVP渡辺さん)
http://blog.o365mvp.com/2013/09/29/adfs_install_manual_win2k12r2/

Microsoft Azure Active Directoryと関連付けて利用するクラウドサービスの設定
– Windows Azure Active Directoryのアプリケーション連携

https://sophiakunii.wordpress.com/2013/10/15/windows-azure-active-directory%e3%81%ae%e3%82%a2%e3%83%97%e3%83%aa%e3%82%b1%e3%83%bc%e3%82%b7%e3%83%a7%e3%83%b3%e9%80%a3%e6%90%ba/

Azure ADのアプリケーション連携 ~ Google Apps編
https://sophiakunii.wordpress.com/2013/10/17/azure-ad%e3%81%ae%e3%82%a2%e3%83%97%e3%83%aa%e3%82%b1%e3%83%bc%e3%82%b7%e3%83%a7%e3%83%b3%e9%80%a3%e6%90%ba-%ef%bd%9e-google-apps%e7%b7%a8/

■ ■ ■

Microsoft Azure Active Directoryは持っている機能があまりにたくさんあるので、
すべてをまとめて解説しているようなドキュメントを読むと、結局迷子になってしまう、
なんて話はよく聞く話です。
そのため、まずは上記のような違いがあるという認識から入るといいと思います。

そして、実際に使ってみようという段階になったら、もっと調べることになるでしょうし、
そのときに色々な機能があるってことを知れば良いのでは?と思い、
今回の投稿を書いてみました。

最後に、すごく聞かれるMicrosoft Azure Active Directoryの質問と私の回答をまとめておきます。

Microsoft Azure Active Directoryはおいくら?

無料です。
Microsoft Azure Active Directory Premiumという有償サービスも用意されています。
詳細については機会を改めて。

Microsoft Azure Active DirectoryとWindows Server 2012 R2のActive Directory
何が違う?

Windows Server 2012 R2のActive Directory(Windows Server Active Directory)はオンプレミスのサーバーにインストールして利用する、いわゆるActive Directoryと呼ばれる機能であるのに対して、Microsoft Azure Active Directoryはクラウドで提供されるディレクトリサービスです。では、Windows Server Active Directoryのクラウド版がMicrosoft Azure Active Directoryなのか?というと、それは違います。
色々あるけど、一番大きな違いはWindows Server Active Directoryはグループポリシーを提供するけど、Microsoft Azure Active Directoryにはグループポリシーはありません
ということで、Microsoft Azure Active Directoryを利用しても社内のコンピューターやユーザーの管理をすべて一元化するものではない、ということです。

image

Microsoft Azure Active Directoryを作ったつもりはないのに勝手にできている?

Office365やWindows Intuneなどは、認証・認可の機能にMicrosoft Azure Active Directoryを使います。なので、Office365やWindows Intuneを契約するとMicrosoft Azure Active Directoryの契約(テナント)が同時に作られます。

Microsoft AzureとMicrosoft Azure Active Directory、何が違う?

Microsoft Azure Active DirectoryはMicrosoft Azureで提供される機能の一部です。Microsoft Azure自体は有償のサービスなので、無償で使えるMicrosoft Azure Active Directoryとごっちゃになると思うのですが、
クレジットカード番号まで入力して作ったMicrosoft Azureのテナントも、
Microsoft Azure管理ポータルサイト上でMicrosoft Azure Active Directoryしか使わなければお金はかかりません。

Microsoft Azure Active Directoryはどこから管理する?

基本的にMicrosoft Azure 管理ポータルサイトから管理しますが、
Office365やWindows Intuneなどの管理ポータルサイトからも簡単なユーザー管理は可能です。

以上、お客様とお話をしていて、よく出てくる質問だったので、まとめてみました。
参考になればうれしいです。

追伸

投稿の中で登場するアイコン、SharePointを学習したことのある方なら、どこかで見たことがあると思います。そうです、SharePointのトレーニングを開催しているクリエ・イルミネートさんのアイコンです。
クリエ・イルミネートさんで開催しているADFSトレーニングは2014年9月よりリニューアルし、Microsoft Azure Active Directoryにも対応したトレーニングになっております。

実際にマイクロソフトのテクノロジーを利用したID連携を検討している方は、短い時間で知識を習得する良い機会だと思いますので、ぜひトレーニングの参加も検討してみてください。