質問にもあるように多数のエンタープライズ向けのソリューションがすでに提供されており、ISV(独立系ソフトウェア・ベンダ)はそのソリューションを活用して、エンタープライズ向けのサービスを構築できます。例えばサービス・バスを使うと、ファイアウォールの中、Windows Azureの中、そして自社データセンターの中のそれぞれで実行されるハイブリッドなソリューションを容易に構築できます。また、セキュリティを提供するためにはActive Directoryを活用できます。
エンタープライズ向けに注力していることの一例を挙げると、Active Directoryを使ってユーザーが簡単にログインできるようにしていることです。世界中の90%の企業環境において、Active Directoryが利用されています。そこでWindows Azureでも、(ユーザー名+パスワードのシステムを提供する)“Windows Azure Active Directory”(執筆時点ではプレビュー版)を実現しようとしています(参考:「Windows Azure Active Directory プレビューの機能強化 - Windows Azure Team Blog (Japan) - Site Home - MSDN Blogs」)。
これを使って、ユーザーはアプリに簡単にログインできるようになります。例えばエンタープライズ向けにSaaS(Software as a Service: サース)のようなアプリを提供しているISVであれば、そのアプリのユーザー・ログインにWindows Azure Active Directoryを使って、SAML(Security Assertion Markup Language)やOAuth 2.0などのオープン・スタンダードなプロトコルによるシングル・サインオン(Single Sign-On)を実現できます。
このほか、オンプレミスのActive DirectoryとWindows Azure Active Directoryの連携を設定して、Active Directoryをミラーリングすることもできます。こうすることにより、会社のファイアウォール内のPCユーザーが社内アプリにログインしたのと同じ企業資格情報(Corporate Credential)を使って、家にいるときにスマートフォンからSaaSにログインしたりできるようになります。会社にとってのメリットは、1つのセキュリティ・モデルに統一できるので、例えば社員が辞めてしまった場合には、Active Directoryアカウントを停止すれば、SaaSへのログインも不可能にでき、会社としてのセキュリティが高まります。
●Active Directoryだけでなく、ほかのものについても、オンプレミスとWindows Azureで同じものが提供されています。しかし、Windows Azureストレージ(Storage)だけ、オンプレミス版がありません(開発用のエミュレータはあるのですが、実運用できるようなものではありません……)。このようにオンプレミスとクラウドで一貫性がないと、運用先を変えたときのコード変更のコストがかかってしまいます。オンプレミス向けにストレージ機能を提供する予定はないのでしょうか?
今後、オンプレミスとWindows Azureでシンメトリ(対称的)に機能を提供していきます。すでに提供しているものでは、例えばサービス・バスやActive Directoryが挙げられますが、キャッシュなどそのほかの機能でも提供する予定です。ストレージも提供を検討中の機能の1つです。一連のスキルと一連のツールが、ファイアウォールの中でも、クラウドでも、同じように使えるようにしていきたいと考えています。両方をまたがる、もしくはつなげるようなソリューションは実際に増えてきており、それがWindows Azureとマイクロソフト技術を特徴付けています。
●Windows Azure管理ポータルのログインはMicrosoftアカウントになっていますが、セキュリティ証明書を使うようなセキュリティが強固な認証が使えないと、日本の大企業では「セキュリティのためにWindows Azureが採用できない」ということが起こってしまいます。
今すでにできることがあります。それは、Microsoftアカウントを使わずに、Active Directoryでログインできることです。この機能は最近(9月ごろに)提供を開始しました。具体的には「Windows Azure管理ポータル」の左下あたりにある[または Office 365 のアカウントを使用してサインインする]というリンク部分をクリックすると、Active Directory(Office 365との連携が必要)の企業資格情報を使ってログインできます。この場合も同様に、社員が辞めて、Active Directoryアカウントを停止すると、Windows Azure管理ポータルにもログインできなくなります。
このActive Directory対応は、Windows Azureのセキュリティ機構を再設計するための最初のステップでした。将来的には、Office 365を使わないWindows Azure Active Directoryにも対応する予定です。
●エンタープライズではなく、中・小規模の企業の利用者向けに提供予定の機能はありますか?
そういった利用者向けにはOffice 365が最適です。.NETを使ったSharePoint拡張やカスタムのASP.NETアプリを構築するときのセキュリティ・モデルとしてOffice 365を使って、複数のアプリ間でシングル・サインオンを実現できます。また、Office 365の中のデータをユーザーに成り代わって取り扱うこともできます。
これをきっかけに、「クラウドに移行したい」と考えている大・中企業もそれを実現できますし、マイクロフトが提供する電子メールやSharePointなどのSaaSと、ISVが開発したアプリを統合することもできます。さらにISVは、それらのサービスやアプリのセキュリティ・モデルを統一できます。
「オンプレミスにサーバを持ちたくない」と考えている小企業は、Active Directoryすら持たずに、全てのデータをOffice 365などのクラウド上に置くこともできます。
いずれの場合もVisual Studioと.NETで一貫した開発が可能です。
●「Windows Azureモバイル・サービス」の認証はどうなっていますか?
現在はMicrosoftアカウントをサポートしています。近いうちに、ほかのコンシューマ認証(Facebook、Google、TwitterなどのID)をサポート予定です(本稿執筆時点ですでにサポート済み)。
ビジネス・ユーザーや業務アプリ向けには、Active Directoryでの認証にも将来的には対応します。多数のビジネス・ユーザーが利用しているActive Directoryに対応して、開発者が活用できるようにすることは、マイクロソフトにとって非常に重要だと考えています。1カ月ほど前から、Active Directoryのチームがわたしの下の所属になりました。というのも開発者向けにActive Directory関連の機能提供を強化して、ASP.NETの中でより使いやすくしていこうと考えているからです。
Copyright© Digital Advantage Corp. All Rights Reserved.