ITpro Special
週間WEEKLY ITpro Special ITpro

クラウドファースト時代のイノベーションの起こし方 企業変革を実現するクラウド利用の勘所

クラウドでのユーザー認証だけでなく シングルサインオンや企業間連携にもAzure ADは役立つ

セキュリティ

クラウドでのユーザー認証だけでなく
シングルサインオンや企業間連携にも役立つAzure AD SNSとの連携もAzureのサービスとして提供

Microsoft AzureのIDプロバイダー「Azure Active Directory」は、Azureサービス用のユーザー認証だけでなく、オンプレミス側のActive Directory Domain Controllerやさまざまなインターネットサービスと連携するためのサービスとしても活用できる。企業間連携の「Azure Active Directory B2B」と消費者とつながるための「Azure Active Directory B2C」の2つの新サービスについても、広いユーザー層を対象にテストや評価を行うパブリックプレビューが進行中だ。

安納 順一 氏
日本マイクロソフト株式会社
デベロッパーエバンジェリズム統括部
テクニカルエバンジェリズム本部
プリンシパルテクニカルエバンジェリスト
安納 順一

 あらためて指摘するまでもなく、セキュリティの基礎はユーザー認証にある。システムへのログインを許すかどうか(アクセス許可)はユーザー認証で決まるし、データ読み書きやコード実行のレベルをコントロールするアクセス制御もユーザー認証によって得られたユーザー属性を基に行われるからだ。

 現在マイクロソフトが提供している認証基盤は、Active Directory Domain Service(AD DS)とMicrosoft Azure Active Directory(Azure AD)をID同期などの仕組みでつないだ形になっている。

 AD DSは2000年にWindows Serverに標準実装されたオンプレミス用の認証基盤で、企業内のユーザー管理とデバイス管理を担当する。ドメインコントローラー(DC)間に信頼関係を設定すれば外部DCとの連携も可能だが、日本マイクロソフトでプリンシパルテクニカルエバンジェリストを務める安納順一氏は「AD DSは、本来、本社と事業所の間などの企業内連携を想定しています」と説明する。

Azure ADの機能
[画像のクリックで拡大表示]
Azure ADを核としたID管理/ID連携。AD DOとAzure ADをID同期などの仕組みで接続。SAML 2.0などで外部のIDプロバイダー(IdP)とも連携できる

 一方、Azure ADはパブリッククラウド用に新たに開発された認証基盤だ。一見AD DSと同様のサービスを提供するかのように見えるが、SAML 2.0/WS-Federation/OpenID Connect with OAuth 2.0の各プロトコルに対応しており、外部のさまざまなIDプロバイダー(IdP)との間でシングルサインオン(SSO)を構成することもできる。また、Active Directory Federation Service(ADFS) を使用すれば、オンプレミス側のAD DSとの IDフェデレーションも可能だ。

Azure ADで広がるビジネス
[画像のクリックで拡大表示]
Azure ADでビジネスの連携を広げる。オンプレミスとクラウドのユーザー認証にモバイルデバイスを参加させ、得意先や取引先や消費者とつながることもできる

多要素認証にもクラウド側で対応。モバイル用サービスも整備

 さらに、上位バージョンのAzure AD Premiumでは多要素認証プロバイダー「Azure Multifactor Authentication」(Azure MFA)も利用できる。Azure MFAはAzure内のサービスとして実装されているので、業務アプリケーション側に手を加えなくても、複数の要素を使ってユーザー認証の精度を高められるという特長を持つ。ID/パスワード以外の要素として利用できるのはワンタイムパスワード(OTP)、個人識別番号(PIN)などだ。「第二の認証要素として携帯電話による応答を選んだ場合、PINコード入力を求める電話がかかってくるので、それを携帯電話のキーから入力すればユーザー認証が完了します」と安納氏は語る。

 このほか、マルチデバイス対応を標榜するAzureでは、モバイルデバイスをセキュアに使うためのサービスも整備されている。例えば、「Microsoft Intune」はWindows/iOS/Androidの各プラットフォームのモバイルデバイスに対して内蔵データのリモートワイプ(遠隔消去)やアプリケーションの登録/更新管理などのモバイルデバイス管理(MDM)機能を提供する。また、「Microsoft Azure Rights Management Premium」(Azure RMS Premium)を使うと、社外に送った電子メールやその添付ファイルに対してインターネット経由で常にアクセスポリシーで監視することが可能だ。誰が、いつ、どこでメールを開いたかといったトラッキング機能も実装されている。また、ファイルを送付した後でアクセス権をはく奪することができる機能(送付後に権限を変えられる)も装備している。

 なお、以上のAzure AD Premium、Intune、Azure RMS Premiumの各サービスを一まとめにしたスイートソリューションとして、Enterprise Mobility Suite(EMS)も用意されている。

他のIdPとの連携能力を活かして得意先や取引先とのID連携を実現

 現在まではAzure ADは社内向けの認証基盤として位置付けられているが、マイクロソフトはAzure ADをEnterprise Social Graph(Web上での得意先・取引先・顧客のつながり)用の基盤へと発展させていく計画だ。そのための2つのサービスはすでにパブリックプレビューの段階にあり、近いうちに正式版になるものとみられる。

 まず、得意先/取引先とつながるためのサービスとして、Azure Active Directory B2B(Azure AD B2B)がある。これは企業が利用しているAzure上の業務プログラムおよびSaaSを外部のパートナー企業にも利用させるケースを想定している。「相手企業のAzure ADテナント内ユーザーに対して、自社のAzure ADアプリへのアクセスを許す」といったかたちの運用になる。相手を自社のAD DSに登録したりDC間に信頼関係を設定したりする必要はなく、「招待」と「承諾」の電子メールをやりとりするだけで済むので、利用にあたってのハードルは低く、手間もかからない。

 安納氏は「Azure AD B2Bの便利なところは、特定の相手を一時的に自社のユーザーとして扱えるという点にあります。例えば、関係会社に実作業をお願いしているようなソフトウェア開発プロジェクトで、進捗報告だけは自社運営のプロジェクト管理SaaSに入力してもらう場合に利用すると効果的でしょう」とAzure AD B2Bの効果を語る。

ソーシャルメディアとのID連携で消費者とのつながりも実装できる

 Enterprise Social Graphのための第2のサービスとなるのが、消費者と企業をつなぐためのAzure Active Directory B2C(Azure AD B2C)である。

 消費者とのつながりを得ようとする企業にとって望ましいのは、自社のサービスに消費者が会員登録してくれることである。ただ、「サインアップのWebページで約70%の人が離脱してしまう」(安納氏)という現実もあることから、消費者に気軽に参加してもらうための入口としてソーシャルメディアを利用する企業が増えてきた。Facebookなどのアカウントを持っていれば会員登録をしなくてもその企業のサービスを利用できる、という方式である。

 そのためには自社サービスに各ソーシャルメディアとの“窓口”を設けなければならず、実装にあたっては「連携先が増えるたびに対応が必要」「追加の承認条項を得るための仕組みが必要」などの問題をクリアすることが求められる。

Azure AD B2C サインインの流れ
[画像のクリックで拡大表示]
Azure AD B2Cにおけるサインインの流れ。ソーシャルメディアのアカウントを持っていれば会員登録をしなくてもその企業のサービスを利用できる

 このような背景から生まれたのが、各ソーシャルメディアとの連携をAzureのサービスとして提供するAzure AD B2Cである。パブリックプレビューの段階で対応済みなのは、Amazon.com、Facebook、LinkedIn、Google+などである。「正式サービスインに向けて、日本で提供されているソーシャルメディアもサポートするように調整中です」と安納氏は話す。

 セキュリティ事故を減らすには、強度の低いパスワードやパスワードの使い回しを排除するのが効果的。Azure ADを利用したID連携やSSOは、そのためのベストの方式となることだろう。

ケーススタディ&ソリューション

ケーススタディ

関電システムソリューションズ

Azure採用の4つのポイントとは

ソリューション

関電システムソリューションズ

コスト削減と資源管理が可能なクラウドとは

ソリューション

クリエーションライン

クラウドでDevOpsを使うには

ソリューション

クララオンライン

中国でも安全にAzureを使いたい

ソリューション

さくらインターネット

Azureと連携したプライベートクラウド

ソリューション

ブロードバンドタワー

賢くAzureを使うための従量課金対策

ソリューション

ソフトバンク コマース&サービス

Azureの知りたい情報が満載

ソリューション

日本ビジネスシステムズ

クラウドの運用管理に困っていませんか

ソリューション

ハートビーツ

Azureのマネージドサービスを提供!

ソリューション

トレジャーデータ

ビッグデータ分析を手軽に導入したい!

ケーススタディ

シーイーシー

Azure上で提供される会計処理システム