Azure ADとは、オンプレミスとクラウドの両方でシングルサインオンを実現するMicrosoftの新ソリューションです。Azure ADはSaaS間のシングルサインオンを手軽に実現するという利便性の高さから、さまざまな企業でも利用されています。しかし中には間違ったAzure ADの知識を持っている方や、仕組みまでは把握できていないという方も多いのではないでしょうか。今回はAzure ADの仕組みや、シングルサインオンの実現方法について詳しく解説します。
[RELATED_POSTS]SSOを実現するAzure ADとは
Azure ADはMicrosoft 365にシングルサインオンを導入する際に用いられていますが、具体的にはどのような存在なのでしょうか?Azure ADの仕組みについて解説します。
Azure ADはADではない
Azure AD の名称には“AD”とありますが、これはWindows Serverに用いられているActive Directory(オンプレミスAD)とは全く別の存在です。
オンプレミスADは、社内のネットワークで利用される認証基盤のことを指しますが、Azure ADはMicrosoft社が提供するクラウドの認証サービスであり、それぞれ用いられているプロトコルや管理方法も異なります。
このような違いはあるものの、Azure ADとオンプレミスADは、SaaS間においてID・パスワードやアクセス権限の管理、シングルサインオンなど、同様の機能を実現します。
Azure ADはAzureではない
Azure ADと似た名称として「Microsoft Azure」という存在がありますが、双方の間に直接的な関係はありません。AzureはMicrosoft社が提供するクラウドプラットフォームで、クラウド上でサーバやネットワークといったITインフラを提供しています。そのため、同じクラウドサービスであってもAzure ADとAzureでは役割が異なります。また、Microsoft 365と契約した際に、自動的にAzure ADを作成されてしまうケースがよくありますが、これはAzureとは関係なくライセンスが付与されています。
Azure ADとADFSの違い
続いてよく同じ意味で扱われやすいAzure ADとADFSですが、どちらもオンプレミスADとクラウドとの間でシングルサインオンを実現するソリューションであることに変わりはありません。また、アクセス制御機能に関しても大きな差はないといえるでしょう。しかしADFSは、シングルサインオンを実現するために複雑なサーバ構築が求められますが、Azure ADは同期のためのサーバ1台で実現可能となるため、導入・運用にまつわるコストを抑えることができるという違いがあります。
Azure ADでSSOを実現する方法
Azure ADを用いてシングルサインオンを実現するには、クラウド・オンプレミスADの2つの方法があります。それぞれのシングルサインオンの実現方法を解説します。
Microsoft 365と他のクラウドサービスのSSO
Microsoft 365と他のクラウドサービスとのシングルサインオンは、互いにSaaSであるため、Azure ADにあるシングルサインオン機能に登録するだけで実現可能です。
まずはAzure AD側の設定が必要となります。はじめにメニュー一覧から[エンタープライズアプリケーション]を選択します。[新しいアプリケーションを選択]を選択し、ギャラリー一覧から対象となるクラウドサービスを追加、または[ギャラリー以外のアプリケーション]をクリックして、クラウドサービスの名前を入力します。
次に管理メニューから[シングルサインオン]に進み、SAML構成の編集に進み、エンティティID、応答URL、サインオンURLを入力します。これは連携するクラウドサービスの設定画面に記載されていることが多いです。最後にユーザー属性と要求の編集を行い、保存します。
続いては連携させるクラウドサービス側の設定です。
シングルサインオン管理画面から、IDプロバイダーの設定に進み、ログインURL、Azure ADのエンティティID、証明書を入力します。その後、一度クラウドサービスからログアウトし、Office365経由で再度ログインしましょう。
ここでシングルサインオンの動作を確認して、問題なければ完了です。
Microsoft 365とオンプレミスADのSSO
続いてはMicrosoft 365とオンプレミスAD 間でシングルサインオンを実現する方法です。オンプレミスのサービスに、そしてオンプレミスからMicrosoft 365以外のSaaSにもシングルサインオンを導入するには、「Azure AD Connect」と呼ばれるシステムで、オンプレミスADとAzure ADを連携させる必要があります。
はじめにMicrosoftホームページからAzure AD Connect をダウンロードし、セットアップウィザードが起動したらライセンス条項を確認・同意し、[続行]をクリックします。[Azure AD に接続]と表示されたら、Azure AD のグローバル管理者の資格情報を入力します。続いて[AD DS に接続]ページに移行したら、オンプレAD のエンタープライズ管理者の資格情報を入力し、[次へ]をクリック。構成内容一覧を確認し、インストールを行います。
その後、Azure ポータルから[Azure Active Directory]、 [Azure AD Connect]と進み、Azure AD Connectの同期状態を確認しましょう。[有効]と表示されていれば完了です。
これで片方にユーザーを作成しても、自動的に共有されるようになります。
Microsoft 365以外のSaaSにもシングルサインオンが利用できるようになるので、先述の手順をもとにAzure ADからクラウドサービスを連携しましょう。
ただし、構築したてのコンピューターでAzure AD Connectの設定を行う場合は、あらかじめセキュリティ設定を強化しておくことが大切となります。 [サーバ マネージャー]から [ローカル サーバ]、[IE セキュリティ強化の構成]、[有効]とクリックし、[Internet Explorer セキュリティ強化の構成]というウインドウが表示されたら、[Administrators グループ]と[Users グループ]の設定値を[オフ]に設定すれば完了です。
ゼロトラストネットワークの起点となるアクセス管理と現実解としての「IDaaS」とは
まとめ
Azure ADはMicrosoft 365の契約のみで利用でき、容易にシングルサインオンの構築が可能ですが、一方でシングルサインオン利用時に必須となる二要素認証や、クラウドサービスへのアクセス端末制限は有償オプションとなるため企業のセキュリティポリシーを満たせずシングルサインオン構築をあきらめてしまう例も少なくありません。
「HENNGE One」のようなサードパーティ製のIDaaSを利用すればより安価に二要素認証機能を備えたシングルサインオン環境の構築が可能となります。さまざまなクラウドサービスの導入を検討しており、快適かつ安全なシングルサインオンを導入したいという方は、ぜひ一度「HENNGE One」を利用してみてはいかがでしょうか。
