Azure AD Connect とは
Azure AD Connectとは、Azure Active Directory Connectの略称で、オンプレミスとクラウド両方のシステムを運用する際、特にオンプレミス側のアカウントをクラウド側でも利用したいというケースに利用できるツールです。
多くの社内システムでは、オンプレミスで構成されていて、アカウント管理にActiveDirectory(AD)が使われていると思います。一方で、クラウド(Microsoft Azure)を使う場合、クラウド側はAzure Active Directory(Azure AD)で管理するようになります。
特に、社内基盤システムはオンプレでそのままに、個別システムをクラウドに移行するといったケースでは、
従来オンプレミス環境でADを用いたシングルサインオン(SSO)を実現していて、それをクラウドに移行したシステムでも実現したいということが多くあると思います。
こういった場合に、オンプレミス側のADとクラウド側のAzure ADとの間でアカウント情報の同期や認証をしてくれるのがAzure AD Connectというわけです。
アカウントの同期・認証
Azure AD Connectは3つの方式が用意されています。
- パスワードハッシュ
- パススルー認証
- フェデレーション統合
それぞれの特徴としては、
- パスワードハッシュ
- AD側のユーザパスワードのハッシュをAzure ADに同期します。
- Azure AD Connectを導入する際、簡単設定という設定があり、デフォルトでこの方式が適用されます。
- パススルー認証
- Azure ADを経由して、ADで認証を行います。
- パスワードをAD側にのみ保持するため、Azure AD(クラウド側)にパスワードを保持しない方式です。
- フェデレーション統合
- ADで認証を行います。
- ADフェデレーションサービス(ADFS)を用いてADとAzure ADでフェデレーションを構成する方式です。
- ADFSを導入することで、柔軟な認証方法を適用することが可能です。
- ただし、ADFS自体はAzure AD Connectのオプションという位置づけなので、別途導入作業が必要だったり、運用時の作業が増えたりします。
導入コスト
Azure AD Connect を導入する場合、基本的に導入前の時点でクラウド(Microsoft Azure)の契約を行っているケースがほとんどだと思われます。
そのため、既存のサブスクリプションに含む形で構成することが可能で、別途コストは発生しません。
ただし、Azure AD Connectを既存のオンプレミスサーバに追加する必要があるため、導入作業というコストが発生します。
Azure AD Connectを導入するメリット
ユーザ、運用管理者ともに、複数のアカウントを管理する必要がないということにメリットがあります。
ユーザとしては、複数のID・パスワードを管理する必要がなく、管理者側もアカウントロック時の対応がそれぞれで管理するよりも削減することができます。また、Azure AD Connectを用いた場合、Azure AD側から更新することはできないため、
導入前と変わらず、AD側で一元管理をすることが可能です。
また、AD認証では、2段階認証(2ファクタ認証)を導入することが可能なので、システム全体でセキュリティレベルを高めることが可能です。
まとめ
Azure AD Connectについて、簡単に整理しました。
実機も含めて調査している段階なので、加筆できることがあれば、随時更新していきます。
コメント