皆さんこんにちは。国井です。
Azure ADのビジネスに携わって数年が経ちますが、あれこれ新しい機能ばかりがクローズアップされて、基本的な概念などをざっくり知る機会が失われつつあるように思います。ということで、改めてAzure ADとは?を知りたい人のために紹介してみたいと思います。
■ ■ ■
私がまだ大学生だったころ、友人のアンドリューとともによくスキーを楽しんでいました。
(ADFSとは?フェデレーションとは?を知る方法でも登場した、あの彼です)
今ほど外国籍の人(特にアングロサクソン系の人)を日本で見かけることが多くない時代ということもあって、アンドリューはひときわ目立つし、どこへ行っても一度で覚えられる存在でした。そのため、スキー場なら、どこに行っても「顔パス」でリフト乗り場のゲートを突破できたのでした。
(スキー場などのサービスにアクセスするための許可証のことをID管理の世界では「トークン」と言いますが、アンドリューにとってのスキー場のリフトに乗るためのトークンは「顔パス」ということになります)
ある日、私とアンドリューは日帰り温泉に行こうという話になり、スキー場から近くの温泉に向かいました。20:55に温泉に到着したものの、看板を見ると温泉の営業時間は21:00まで!
今日は諦めようと促す私に対して、アンドリューは「ガイジンだから大丈夫」などと言い出して、温泉の番頭さんに交渉し、21:00を過ぎているのに温泉に入れてもらえました。
その日を境に、レストランに一緒に行けば「ガイジンだからこのメニューは食べられない」と言ってメニューにない料理を作らせるなど、やりたい放題。
アンドリューにしてみれば「ガイジンだから」のキーワードを使えばなんでもできると考えたのでしょう。「ガイジンだから」トークンを手にして、あらゆるサービスへのアクセス権を得ていたような状態です。
そんなアンドリューにも「ガイジンだから」トークンが通用しない場所がありました。
それは日本の入国審査です。
あとで知ったのですが、彼にはオーバーステイの履歴があったのです。
■ ■ ■
トークンは一度持てば、どこでもアクセスできるわけではなく、通用する世界と通用しない世界があります。
Active Directoryの場合であれば、会社の中に作られた「ドメイン」という範囲がトークン(Active Directoryの場合はチケットと呼びます)が通用する世界になります。
ですので、Active DirectoryにIDとパスワードを入力して、もらえるトークンでアクセスできるのはドメイン参加しているサーバーだけになります。ですので、Active Directoryを持っている会社でもクラウドサービスにアクセスすることになったら、改めてIDとパスワードを入れなければならないのです(Active Directoryで作ってもらったトークンはクラウドで使えないですからね)。
これに対して、Azure ADで発行するトークンはクラウドで有効なトークンを発行します。そのため、Azure ADにIDとパスワードを入力してサインインしたユーザーは、追加でIDとパスワードを入力しなくても様々なクラウドサービスにアクセスできるようになるのです。
こうやって見ると、Active DirectoryとAzure ADの違いって、トークンが利用できる範囲がドメインなのか?クラウドなのか?という違いなだけで、トークンを発行して、どこかにアクセスできるようにして.. という動きはまったく変わらないのです。
では、最後によくある質問にまとめて回答してみましょう。
Azure ADはどうやってインストールするの?
クラウドから提供されるサービスなのでインストールとか、必要ありません。
一般的には Office 365 を契約することによって自動的に作成されちゃったというケースが多く、作成されちゃったものをそのまま利用することが多いです。
なんでActive DirectoryをインストールしないのにAzure Active Directoryっていうの?
それは作った人に聞いてくださいw
私なりに頑張って解釈すると、Active Directoryのように「トークン」を使ってアクセス権管理するサービスをAzureのクラウドサービスとして提供しているからだと思います。
Azure ADはどこにあるの?
マイクロソフトのデータセンターにあります。ユーザーなどを作った場合、その情報は他のデータセンターに複製して冗長化しているので、日本でユーザーを作っても国内にデータが留まるわけではないです。
Microsoft Azureを契約していないのにAzure ADってどういうこと?
先ほど、Office 365を契約すると作られちゃうって言いましたが、これってAzure関係ないですよね。これがAzureとAzure ADの関係性をややこしくしているところなのです。
今日は簡単に、わかりやすく、というモットーで書いているので、簡単に回答するなら、Azure ADに「Azure」という言葉が付く理由を考えるのはもうやめましょう。
Azure ADからどんなクラウドサービスにもアクセスできる?
Azure ADで発行されたトークンをもとにアクセスできるクラウドサービスは事前にAzure ADに登録しなければなりません。登録できるクラウドサービスはおよそ3000種類ほどありますが、そのほかにも自社開発のWebアプリケーションを登録して、Azure ADのトークンを使ってアクセスさせるような作りこみも可能です。
■ ■ ■
Azure ADについて、もっと知りたいという方のためにこのブログがあります(だってURLがAzureAD.netですからね)ので、これからも色々な投稿を通じてお役に立てれば幸いです。