AzureADの概要とユーザー保持

AzureADの概要とユーザー保持

みなさまこんにちは。今回はAzureActiveDirectoryについて。

この投稿を検索してご覧になっている皆様はもう十分ご存知と思いますが、AzureADは、マイクロソフトが提供するクラウドサービス、Azure上で動作するActiveDirectoryサービスです。

と言っても、ActiveDirectoryサーバーでできるようなグループポリシーやら何やらと言った難しいことはできません。AzureADはあくまで認証・認可に絞ったサービスとなっていて、Office365やその他サービスの認証基盤ともできますし、それらを結ぶSSO(シングルサインオン)も構成が可能です。

AzureADの概要とユーザー保持


さて、もう少し突っ込みます。AzureADはAcitveDirectoryのように、KerberosやLDAPを使った認証はできません。その代わり、SAMLやO-Auth、RESTを用いた認証ができるようになっています。

これらを使ってSSOも実現するんですね。

少し話題はそれますが、Azure Active Directory Domain Services(AADDS)というサービスもあります。名前だけ聞くと一瞬訳が分からなくなりますが、これはAzureADとは違い、まさにこれまでのActiveDirectoryそのものの機能をクラウド上で展開したもので、Kerberos認証もできればGPOも利用できます。

クラウド上に構築するADとの違いは、AADDSはAD機能をサービスとして提供しているので、管理者は、OS部分のメンテを気にしなくて良い点です。(クラウド常にOSを構築してADを立てると、OSのメンテもしないといけないですよね)ただし、クラウドサービスという性質上、Domain Admins / Enterprise Admins権限が利用できない、Default Domain Policyは変更できないなどの制約があるので利用する際にはよく調べましょう。

本題にもどります。AzureADですが、そのユーザの持ち方はADのそれを踏襲しています。ADは複数台存在すると、相互にレプリケートが可能ですが、AzureADも同様です。そしてそのレプリケート対象は全世界のAzureAD。

つまり、一度AzureADに登録されたユーザアカウントは、瞬く間に同期され、いつの間にか世界中のAzureAD上にも存在するようになっています。(AzureAD上のアカウントを持っているあなたのIDも、きっと世界の裏側のブラジルリージョンに保存されています。)

Office365やサービスからの認証時にはDNSを用いてAzureADを探し、見つけて認証するようなので、基本一番近いAzureADで認証されます。

Office365は東京リージョンで使っているから大丈夫!と思われている方は、ユーザID情報だけは(同期設定している場合はパスワードも)世界に散らばって保持されていることに注意しましょう。(注意してもどうしようもないけど)