PR

 Azureとオンプレミス(自社所有)環境を結んだハイブリッドクラウドで統合の認証基盤を構築し、シングルサインオン(SSO)を実現したい――。Azureの利用が進んだユーザーでは、こんなニーズが強くなるもの。

 今回は、ハイブリッドクラウドで統合の認証基盤を中心に、Azure上での認証基盤について解説する。

 ハイブリッドクラウドで統合の認証基盤を構築するには、大きく三つの形態がある。(1)Active Directory(以下AD)のみを用いる形態、(2)クラウドサービスである「Azure Active Directory(以下Azure AD)」のみを用いる形態、(3)ADとAzure ADを組み合わせる形態だ。

 意外に思うかもしれないが、(1)の形態、すなわち従来使ってきたADのみでも、オンプレミスとAzureで統合の認証基盤を構築できる。

 従来のオンプレミスの認証基盤を考えてほしい。Windows Serverを用いたシステムを構築する場合、典型的にはADでドメインを構築し、Windows ServerやWindowsクライアントをADに参加させ、アプリケーションをWindows統合認証で構成。これによってシングルサインオンやセキュリティ管理を実現する。

 これをAzureにも拡張するには、閉じたネットワークで結べばよい。つまり、AzureとオンプレミスをVPNあるいは専用線(Express Route)で接続する。

 この際に利用しているのはADであり、Windows統合認証である。クライアントは、オンプレミスのサーバーか、Azure上のサーバーかを意識することなく、それらの上で動作するWindows統合認証で構成されたアプリケーションを利用できる。

 しかしADのみではどうしてもカバーできないユースケースがある。例えば、インターネットを通じてアクセスするAzure以外のクラウドサービスや、スマートフォンを使ったインターネット経由での利用だ。

 Azure以外のクラウドサービスには、Microsoftのオフィスソフト・グループウエアのSaaS「Office 365」も含まれる。実はOffice 365の認証システムには、ADではなくAzure ADが利用されている。

 Azure ADは閉じたネットワークではなく、インターネット上に存在する認証基盤、IDaaS(ID as a Service)である。あとで詳しく説明するが、ADをそのままクラウドサービス化したものではなく、インターネット上のIDaaSとすることで、Azure以外のクラウドサービスやスマートフォンもカバーできるようにした。

 先に示した形態(1)ADのみ、(2)Azure ADのみで、ハイブリッドクラウドの認証システムを統合することもできるが、二つを組み合わせて利用する(3)の形態が一般的である。

 ADで構成したオンプレミスに加え、スマートフォン向け業務アプリ、Office 365、他社クラウドサービスもカバーし、オンプレミスからクラウドまで統合の認証基盤を作ることができる。

 具体的なアーキテクチャーにはいくつかのパターンがあるが、推奨するのは図1右に示した「シームレスSSO+パスワードハッシュ同期」だ。

図1 ADとAzure ADとの連携の典型的な構成パターン
WAPやADFSが不要な「シームレスSSO+パスワードハッシュ同期」を勧める
図1 ADとAzure ADとの連携の典型的な構成パターン
[画像のクリックで拡大表示]

 図1左の「フェデレーションID」は、オンプレミスのADからAzure ADに対してディレクトリーを同期させるシンプルな構成だが、WAP(Web Application Proxy)やADFS(Active Directory Federation Services)などが必要になる。シームレスSSO+パスワードハッシュ同期ではそれらが不要だ。