クラウド時代のセキュリティ担保にはActive Directoryフェデレーションサービスが必須となる?:vNextに備えよ! 次期Windows Serverのココに注目(23)(1/2 ページ)
Windows Server 2003 R2で初めて登場した「Active Directoryフェデレーションサービス(AD FS)」。Windows Server 2012 R2以降は、スマートフォンやタブレット、クラウドアプリのビジネス利用を促進する重要な役割を担うようになりました。
セキュリティを確保し、アプリへのアクセスを簡略化するAD FS
Windows Serverの「サーバーの役割」の一つである「Active Directoryフェデレーションサービス(Active Directory Federation Services:AD FS)」は、要求(クレーム、Claim)ベースの認証を使用して、セキュリティを確保しながら、アプリケーションへのアクセスを簡素化します。
AD FSの最初のバージョン1.0は、Windows Server 2003 R2で初めて標準機能として搭載されました。当時は、企業間(B to B)におけるActive Directoryのフォレスト間の信頼を構成して、アプリケーションへのアクセスをエクストラネットに拡張することが主な役割でした。そのため、企業内に閉じたIT環境では、出番が少ない役割の一つでした。
AD FSは、Windows Server 2008/2008 R2のAD FS 1.1、Windows Server 2012/2012 R2のAD FS 2.0と、着実に機能が強化されて現在に至っています。
クラウド時代に求められるAD FSの新たな役割とは?
ビジネス分野におけるクラウドベースのアプリの普及、スマートフォンやタブレット端末などPC以外のクライアントデバイスの多様化、BYOD(Bring Your Own Device:個人所有デバイスの業務利用)ニーズの高まりといったIT環境の変化に対応するため、現行バージョンのWindows Server 2012 R2のAD FSには「デバイス登録サービス(Device Registration Service)」や「多要素認証(Multi-Factor Authentication:MFA)」のサポートが追加されました。
また、「Webアプリケーションプロキシ(Web Application Proxy)」の役割も追加され、インターネットや個人所有デバイスからの社内リソースへのセキュアなアクセス環境の構築が簡素化されました。
デバイス登録サービスは、Windows 8.1やWindows 7のPC、Windows RT、iOS、AndroidのデバイスをActive Directoryに登録し、AD FSでデバイス認証を可能にする機能です。デバイス認証は、AD FSのフォーム認証やWindows認証、証明書認証と組み合わせることで、認証セキュリティを強化できます。
Windows 8.1以降のWindowsは「ワークプレース参加(Workplace Join)」という機能で、デバイスをActive Directory(またはMicrosoft Azure Active Directory)に登録できます。ワークプレース参加は、Windows 8.1では「社内ネットワークへの参加」、Windows 10では「職場または学校への接続」という日本語で表現されています(画面1)。
多要素認証は、プライマリの認証方法に追加の認証方法を要求するものです。Windows Server 2012 R2のAD FSは、標準で証明書認証(スマートカード認証)に対応しています。
Webアプリケーションプロキシは、AD FSの事前認証に基づいて、企業内リソース(イントラネットサイト、Webアプリ、ワークフォルダー、リモートデスクトップサービスなど)へのアクセスを許可する“HTTPSのリバースプロキシ”として機能します。また、WebアプリケーションプロキシはAD FSプロキシとしても機能し、インターネット側からのデバイス登録やクラウドサービスとの連携を可能にします。
以下の図1は、Windows Server 2012 R2のAD FSおよびWebアプリケーションプロキシの展開の一例です。
AD FSおよびWebアプリケーションプロキシは、マイクロソフトのSaaS(Software as a Service)である「Office 365」との連携や、他社のSaaSアプリとの連携を実現します。具体的には、Office 365とオンプレミスのActive Directoryとのディレクトリ同期によるID管理の一元化、Office 365や他社SaaSアプリへの社内ID(オンプレミスのActive DirectoryのID)を使用したシングルサインオンアクセス(SSO)などです。
なお、Office 365はディレクトリサービスとして「Microsoft Azure Active Directory(Azure AD)」を利用しており、AD FSはAzure ADとの間でディレクトリ同期やSSOをセットアップすることになります。2015年6月にリリースされた「Microsoft Azure Active Directory Connect(Azure AD Connect)」を利用すると、AD FSやWebアプリケーションプロキシの展開とOffice 365やAzure ADとの連携のセットアップが大幅に簡素化されます。
- Microsoft Azure Active Directory Connect[英語](Microsoft Download Center)
Copyright © ITmedia, Inc. All Rights Reserved.