Active DirectoryとAzure Active Directoryは何が違うのか？：基礎から分かるActive Directory再入門（11：特別編）（2/2 ページ）

Office 365のユーザー管理機能からスタートした「Azure Active Directory」。現在は、クラウドの認証基盤として、さまざまな機能を提供している。では、オンプレミスのActive DirectoryとAzure Active Directoryは何が違うのだろうか。

[国井傑（Microsoft MVP for Directory Services），株式会社ソフィアネットワーク]

Active DirectoryとAzure ADは何が違うのか？

　オンプレミスのWindows Serverで構成されたActive Directoryも、Microsoft Azureで提供されるAzure ADも、同じ「Active Directory」の名前で認証基盤としての機能を提供する。では、両者は何が違うのか。Active DirectoryとAzure ADの違いは、認証と許可を処理するための「プロトコル」だ。

　Active Directoryは社内システムに対するSSOの機能を提供し、Azure ADはクラウドアプリケーションに対するSSOの機能を提供する。これは認証と認可に使用するプロトコルが異なるため、SSOの機能を提供する範囲が異なるという意味でもある。

　Active Directoryでは、ドメイン参加しているコンピュータを対象に「Kerberos」プロトコルを利用して認証と認可を行う。そのため、ドメインで一度認証したユーザーはドメインに参加している他のコンピュータへSSOアクセスができるようになる。

　一方、Azure ADで利用されるのは「SAML」や「OpenID Connect」などの、主にクラウドで使われるプロトコルだ。そのため、Azure ADで認証を行ったユーザーは、SAMLなどのプロトコルをサポートするクラウドアプリケーションにSSOアクセスできるようになる。つまり、SAMLやOpenID Connectなどのプロトコルが利用できれば、社内に設置されたアプリケーション（例えば、SharePoint Serverなど）などにもSSOでアクセスすることも可能である。

　「Azure ADの登場によって、Active Directoryが不要になる」といった話を聞くこともあるが、ドメインに参加しているサーバへのアクセスをAzure ADで行うには、SAMLなどのプロトコルによるアクセスをサポートしなければならないため、容易ではない。そのため、しばらくの間、オンプレミスのActive DirectoryとクラウドのAzure ADは多くの企業で共存させていくことになるだろう。

Azure VM上のActive DirectoryとAzure ADの違いは？

　次に混乱しがちなキーワードは「Microsoft Azure仮想マシン（Azure VM）上のActive Directory」との違いだ。Azure VMでWindows Serverを起動し、Active Directoryをインストールすると、クラウドでもActive Directoryを利用できるようになる。だからAzure ADと同じ機能を利用できるのではないか、という誤解だ。

　前述のように、Active Directoryはクラウド上に仮想マシンで構成しても、ドメインに参加しているサーバを対象にKerberosプロトコルを利用して、認証と認可の機能を提供することに変わりはない。SAMLやWS-Federationプロトコルを利用するAzure ADとは明らかに違うのである。

AD FSとAzure ADの違いは？

　「Active Directoryフェデレーションサービス（AD FS）」サーバとは、クラウドのアプリケーションに対してSSOを提供する、Windows Serverにインストールして利用する機能であり、Office 365へのSSOを実現するため利用されている。しかし、AD FSはOffice 365に限らず、さまざまなクラウドのアプリケーションへのSSOを実現できる。すると、新たな疑問が浮かんでくる。

　AD FSはAzure ADと何が違うのだろうか

　AD FSとAzure ADはどちらもSAMLなどのプロトコルを利用する。しかし、AD FSはWindows Serverにインストールして利用するものであり、Azure ADはクラウドからサービスとして提供する、という違いがある。

　もう1つの違いは、「トークン」を発行するための認証方法だ。

　AD FSサーバやAzure ADは、SSOを行うためにトークンと呼ばれる情報を発行し、クラウドのアプリケーションと連携する。このとき、AD FSサーバは、Active Directoryで認証したユーザーに対してトークンを発行する。一方、Azure ADは、Azure ADで認証したユーザーに対してトークンを発行する。

　つまり、Azure ADではSSOを実現するために、新しくAzure ADにユーザーを作成する必要があるのに対して、AD FSは既存のActive Directoryユーザーを使ってSSOを実現できるという違いがある（図3）。

図3　AD FSとAzure ADによるシングルサインオンのフロー

［column］Azure ADでActive Directoryユーザーを利用するには？

　Azure ADでは、認証を行うユーザーをAzure AD上で新規作成する方法の他、Active Directoryに作成済みの既存のユーザーを同期（＝コピー）することができる。この同期機能を「ディレクトリ同期ツール」と呼び、Azure ADから提供されている。

　ディレクトリ同期ツールは、オンプレミスのWindows Serverにインストールして、ユーザーを同期する。これにより、Active Directoryのユーザー名／パスワードをAzure ADでも利用できるようになる。詳しい使い方については、別の機会に紹介する。

筆者紹介

国井 傑（くにい すぐる）

株式会社ソフィアネットワーク取締役。1997年よりマイクロソフト認定トレーナーとして、Active DirectoryやActive Directoryフェデレーションサービス（AD FS）など、ID管理を中心としたトレーニングを提供している。2007年よりMicrosoft MVP for Directory Servicesを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。