Azure AD
・ユーザID管理・認証クラウドサービス
・オンプレADとは別物。認証プロトコルも異なる。
・テナント取得時にAzureADにテナントとディレクトリインスタンスが作成される。
・O365で利用するユーザー、グループはAzureADで管理される。
・AzureAD上で操作可能だが、基本的にO365管理センター操作でOK
・O365に付随するAzureADエディションはFreeエディションだが、O365固有の機能がついてる
ID管理の選択肢
2種類あり
①クラウド認証
AzureADがユーザー認証をする。3つの方針あり。
1) クラウドのみ
・AzureADのみでユーザー認証する
2) パスワードハッシュの同期
・オンプレのアカウント情報(パスワード以外も)をAzureADに同期する。
・Azure Active Directory Connectを利用する。
・基本的に同期方向はオンプレAD→AzureADのみ(AzureAD上位ライセンス一部例外あり)
・ユーザー管理はオンプレADで行う。
・構成時にフル同期、以降は既定で30分間隔で同期。(パスワードのみ2分固定)
・パスワード情報はハッシュで送信される
・パスワードの複雑性ポリシーはオンプレADが優先される。
・パスワードの有効期限は、同期対象アカウントの有効期限はAzureAD上で"期限なし"に設定される為、オンプレで期限切れでも、AzureADでは利用可能になる。
・同期されるが、AzureADへサインインする場合は、ID/PWを要求される。これを回避する2つの方法あり。
|*方法|*説明|
|シームレスシングルサインオン|IDのみでOK。|
|サイレントサインオンエクスペリエンス|ID/PW両方不要。OWA等、一部のブラウザ利用アプリが対象。|
3) パススルー認証
・ハッシュを送信せずに認証を実現する。
・パススルーエージェントを利用。実現フローは以下の通り。
(1) パススルーエージェントを、ADもしくは別サーバにインストールし、鍵ペア生成
(2) AzureADに公開鍵を設定
(3) AzureADは認証要求あった時、ユーザー名+公開鍵でパスワードを暗号化しキューに格納
(4) パススルーエージェントがキューから取り出し、秘密鍵で復号化し認証する。結果をAzureADに返す。
(5) AzureADが認証結果をアプリに応答
★パススルーエージェントの通信は、AzureADに対しクライアントとなる為、グローバル公開不要★
・パスワードハッシュとの並行利用可能。しかし、切替操作が必要。
・パスワードハッシュと同様、シームレスシングルサインオンの利用可能。
②フェデレーション認証
・SSOを実現する。
・用途は、AzureAD未対応のオンプレアプリをフェデレーションさせたい場合等
・方法は2つあり。オンプレAD使う場合と、サードパーティID管理、認証プロバイダを使う場合。
・書籍にはオンプレAD利用ケースの実現方式等記載あり。詳細は書籍参照。
