クラウドID管理における「 Active Directory 」とは

主要ID管理テクノロジー「 Active Directory 」の概要について紹介します。Windowsドメインネットワークで広く利用されています。「導入メリット」「主な特徴」「データ階層構造」「提供するディレクトリサービス」などのテーマについて参照できます。

主要ID管理テクノロジー「 Active Directory 」の概要について紹介します。Windowsドメインネットワークで広く利用されています。「導入メリット」「主な特徴」「データ階層構造」「提供するディレクトリサービス」などのテーマについて参照できます。

「Active Directory」とは

概要

Active Directory(AD)とは、Microsoftが提供するWindowsドメインネットワーク向けの「ディレクトリおよびID管理サービス」です。

ディレクトリサービスとして、「ユーザー」「デバイス」「アプリケーション」「グループ」など、ローカルネットワーク上のオブジェクトに関するデータを保存します。

これらのデータを階層構造で編成するため、ネットワークに関するデータを容易に検索でき、ID管理サービスとしても利用できます。

Microsoftソリューションでの使用

Active Directoryは、Windows2000で導入され、多くのMicrosoftソリューションで利用されています。

・Windows Server
・Exchange Server
・SharePoint Server
・サードパーティのアプリケーション(サービス) など

利用技術

Active Directoryは、他のセキュリティプロトコルやネットワークプロトコルにも準拠しているため、非Windowsシステムとの通信が可能です。

・LDAP(Lightweight Directory Access Protocol)
・DNS(Domain Name System)
・Kerberos認証プロトコル など

導入メリット

セキュリティ

「ネットワークリソースへのアクセス制御機能」により、企業がセキュリティを向上させるのに役立ちます。

拡張性

組織構造やビジネスニーズの変化に合わせて、Active Directoryデータを整理し拡張できます。

一元管理

管理者は企業全体の「ユーザーIDおよびアクセス権限」について一元管理できるため、運用コストを削減できます。

シングルサインオン

シングルサインオン実装が可能となり、単一の「ユーザーID+パスワード」で複数のリソースにアクセスできます。

高可用性

「冗長コンポーネント」と「データレプリケーション」をサポートしているため、「高可用性」と「ビジネス継続性」を実現できます。

主な特徴

スキーマ機能

Active Directoryのスキーマは、「オブジェクト」と「オブジェクト属性情報」のセットをサポートします。

オブジェクトの例

・ユーザー
・グループ
・連絡先
・コンピューター
・共有フォルダ
・プリンター
・組織単位 など

属性情報の例

例えば、「ユーザーオブジェクト」の属性としては、次のようなものが含まれます。

・ユーザーID
・パスワード
・ユーザー名
・住所
・メールアドレス
・電話番号 など

クエリ(インデックス)メカニズム

「ユーザー」「管理者」「アプリケーション」などがディレクトリ情報を効率的に検索できる機能を提供します。

レプリケーションサービス

ローカルネットワーク全体にディレクトリデータを配布します。

マルチマスターレプリケーション

すべて同一の構成を持つ複数のデータセンターをサポートできます。

「ユーザーへの応答高速化」「障害が発生した場合の相互バックアップ機能」などのメリットがあります。

PowerShellコマンドレット

Microsoft PowerShellは、Active Directoryに変更を加えて管理プロセスを合理化できるコマンドレットをサポートしています。

データ階層構造

概要

Active Directoryは、各種情報を「ドメイン」「ツリー」「フォレスト」で構成される階層構造に保存します。

ドメイン

ドメインは、同じデータベースを共有するオブジェクトのコレクションです。

「company.com」のようなDNS名によって識別されます。

組織単位グループ化

メイン管理者は、ドメイン内オブジェクトを「組織単位(OU:Organizational Unit)」にグループ化できます。

「機能単位」「地理単位」「ビジネス構造単位」などの任意の組織単位を作成し、それぞれの組織単位に「グループポリシー」や「リソース制御」を適用して管理を簡素化できます。

メイン管理者は組織単位ごとのサブ管理者に管理作業を委任しやすくなり、ドメイン管理の責任を分散できるメリットもあります。

ツリー

ツリーは、連続した名前空間を持つ「1つ以上のドメインのコレクション」です。

「marketing.company.com」や「sales.company.com」のように共通のDNSルート名がベースとなります。

フォレスト

フォレストは、「1つ以上のツリーのコレクション」ですが、連続した名前空間の一部ではありません。

主として、企業ネットワークのセキュリティ境界として機能します。

また、フォレスト内の複数ドメインへのログインサポートが可能で、あるドメインのユーザーが別のドメインのリソースにアクセスできる信頼関係を作成できます。

提供するディレクトリサービス

Active Directoryは「複数のディレクトリサービスのコレクション」であり、「Active Directoryドメインサービス」と共に機能します。

Active Directoryドメインサービス

「ドメインサービス」は、ユーザーとリソースの管理に使用されるActive Directoryのコアサービスです。

ユーザーを認証し、ネットワークリソースへのアクセスを制御するために使用されます。

ドメインコントローラー

「ドメインサービス」を実行するサーバーは「ドメインコントローラー」と呼ばれます。

ユーザーはログオンするために、ドメインコントローラーに接続する必要があり、ドメインコントローラーによって認証され、管理上定義されたポリシーに基づいて特定リソースへのアクセスが許可されます。

多くのWindowsドメインネットワークでは、高可用性確保のために、「1つのプライマリドメインコントローラー」+「1つ以上のバックアップドメインコントローラー」で構成されます。

Active Directoryライトウェイトディレクトリサービス

「ライトウェイトディレクトリサービス」は「MicrosoftによるLDAPプロトコル実装」です。

LDAP(Lightweight Directory Access Protocol)とは、ネットワーク上のリソースにアクセスするための認証を可能にするコアテクノロジーです。

Active Directory証明書サービス

「証明書サービス」は、デジタルセキュリティ証明書の管理機能を提供するサービスです。

ネットワーク上のユーザーデータを暗号化するために使用される「公開鍵証明書」について、「作成」「取り消し」「検証」できます。

Active Directoryフェデレーションサービス

「フェデレーションサービス」は、「シングルサインオン」に関するインフラストラクチャバックボーン機能を提供します。

Active Directory Rights Managementサービス

「Rights Managementサービス」は、ドキュメントに対する「暗号化」および「権利権限」について管理できるサービスです。

「Eメール」「Wordファイル」「Webページ」などのさまざまなドキュメントに対して、「暗号化機能」と「選択的機能拒否機能」を実装できます。

例えば、「ネットワーク上のユーザーのみが該当ドキュメントをプリントアウトできる」などの設定を実施できます。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考サイト

クラウドID管理における「 LDAP 」とは

認証プロトコル「 LDAP 」についての概要解説です。「ディレクトリサービスでの認証と通信」のために開発されたソフトウェアプロトコルで、認証技術標準として幅広く利用されています。「情報データベース機能」「認証ハブ機能」「セキュリティ」「認証プロセス」などについて紹介しています。

認証プロトコル「 LDAP 」についての概要解説です。「ディレクトリサービスでの認証と通信」のために開発されたソフトウェアプロトコルで、認証技術標準として幅広く利用されています。「情報データベース機能」「認証ハブ機能」「セキュリティ」「認証プロセス」などについて紹介しています。

「LDAP」とは

認証プロトコル

LDAP(Lightweight Directory Access Protocol)とは、「ディレクトリサービスでの認証と通信」のために開発されたオープンなクロスプラットフォームソフトウェアプロトコルです。

「ディレクトリサービス」とは、「コンピュータアカウント情報」「ユーザー情報」「パスワード情報」などを格納し、ネットワーク上で共有することにより、アプリケーションやユーザーが組織全体から必要な情報を検索できるサービスです。

LDAPディレクトリにデータを保存し、ディレクトリにアクセスするユーザーを認証することで、ユーザー認証プロセスとして利用できます。

クライアント/サーバモデル

LDAPは、クライアント/サーバモデルで動作します。

LDAPサーバ

LDAPサーバは、「ディレクトリサービス機能」と「ユーザーアクセス認証機能」を提供します。

主なLDAPサーバ
・OpenLDAP
・Active Directory
・OpenDJ など

LDAPクライアント

LDAPクライアントは「LDAP認証をサポートするシステムまたはアプリケーション」であり、LDAPサーバに対してユーザー資格情報を提示して、認証を要求します。

主なLDAPクライアント
・OpenVPN
・Docker
・Jenkins
・Kubernetes など

認証技術標準

1997年に登場した「国際化やセキュリティ強化がなされたLDAPv3」は、「ディレクトリサービスのためのインターネット標準」として利用されています。

セキュリティ

セキュリティ問題① 通信の暗号化

LDAPは、アクセス管理のための組み込みレイヤーを備えた標準セキュリティ機能を提供します。

しかし、「LDAPサーバとLDAPクライアント間の通信」は保護しません。
悪意のある攻撃者によって、認証プロセス中に送受信される情報を傍受され、組織のデジタルインフラストラクチャにアクセスされる危険性があります。

そのため、企業はLDAP認証プロセスを通じて安全な暗号化を追加する必要があります。
「SSL/TLS暗号化」などを追加して通信を暗号化して保護することにより、企業の通信チャネルのセキュリティを強化できます。

セキュリティ問題② デフォルトポート

LDAPには『LDAP認証プロセスのデフォルトポート「389」が安全ではない』という潜在的セキュリティ問題があります。

「LDAPv3 TLS拡張」や「StartTLSモード」など、より安全で保護された接続を提供する追加のセキュリティ拡張が必要です。

「LDAP」の主な機能

情報データベース機能

さまざまな情報を保存

LDAPサーバは「柔軟なスキーマを持つデータベース」として機能します。

つまり、LDAPは「ユーザーID+パスワード」の基本認証用情報のみではなく、さまざまな属性情報を保存することもできます。

保存している情報を、他のアプリケーションやサービスに共有できます。

保存される情報の例

LDAPサーバは次のようにさまざまな情報を格納できます。

・ユーザー情報—ID、属性、住所、電話番号、所属グループ、所属組織、アクセス権限情報
・ネットワーク接続デバイス情報—サーバ、クライアント、プリンター
・システム情報—アプリケーション、サービス
・ネットワーク情報
・組織情報
・グループ情報—グループ関連付け
・ファイル情報—共有ファイル など

ディレクトリ情報ツリー

データは「ディレクトリ情報ツリー」と呼ばれる階層構造に格納されます。

データが「分岐するツリー構造」に編成されることで、「管理者がディレクトリをナビゲート」「特定データ検索」「ユーザーアクセスポリシー管理」などが容易になるメリットがあります。

LDAPクエリ

シンプルな文字列ベースクエリである「LDAPクエリ」を使用すると、LDAPサーバ内の各種データ検索が容易になります。

「ldapsearch」「PowerShell」などのユーティリティを使用してクエリを実行することもできます。

認証ハブ機能

LDAPにはさまざまな用途がありますが、「認証と承認のための中央ハブ」としての利用が最も一般的です。

これには、組織がネットワークやアプリケーション全体で「ユーザーID+パスワード」を統合的に管理できるメリットがあります。

ユーザーが「アプリケーション」「ディレクトリ」「システム」にアクセスしようとするごとに、資格情報について検証できます。

「LDAP」の認証プロセス

概要

LDAP認証では、LDAPプロトコルを使用するディレクトリサービスに接続して、提供された「ユーザーID+パスワード」を認証します。

認証プロセス

認証プロセスの段階的な内訳は次のとおりです。

①要求

LDAPクライアントは、LDAPサーバ(データベース)内に格納されているユーザー資格情報(ユーザーID+パスワード)とともに、LDAPサーバに要求を送信します。

②認証

LDAPサーバは、「LDAPクライアントから送信されてきた資格情報」について、LDAPデータベースに保存されているユーザーIDデータと照合することで、認証を実施します。

③アクセス許可(拒否)

認証「成功」の場合、LDAPクライアントはアクセスが許可され、要求された情報(属性、グループメンバーシップ、その他のデータ)を受け取ります。

認証「失敗」の場合、LDAPクライアントはLDAPデータベースへのアクセスを拒否されます。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考サイト

クラウドID管理における「ID フェデレーション 」とは

「ID フェデレーション 」についての概要解説です。複数ドメイン間でシングルサインオンを実現できるID管理機能として利用が広がっています。「2つのプロバイダー」「導入メリット」「IDフェデレーションとシングルサインオンの違い」について紹介しています。

「ID フェデレーション 」についての概要解説です。複数ドメイン間でシングルサインオンを実現できるID管理機能として利用が広がっています。「2つのプロバイダー」「導入メリット」「IDフェデレーションとシングルサインオンの違い」について紹介しています。

「IDフェデレーション」とは

ユーザー認証責任を外部に委任

「IDフェデレーション」とは、「ユーザー認証」と「リソースアクセス承認のために必要な情報伝達」を目的とした2者間の信頼連携システムです。

「IDプロバイダー」は、サービスとして、ユーザーIDの管理や認証を実施し、各IDを保証します。

「サービスプロバイダー」は、ユーザー認証をIDプロバイダーに委任することで、該当ユーザーに対してサービス(アプリケーション)へのアクセスを許可します。

ドメイン間認証

IDフェデレーションでは、「企業」「組織」「アプリケーションベンダー」「サードパーティ」などの各ドメイン間で信頼関係を確立することで、ドメイン間でIDを共有してユーザー認証を実施できます。

ユーザーは1つのドメインに対して認証を実施すれば、信頼関係を結んでいる他のドメインのリソースにアクセスできます。

オープン標準実装

IDフェデレーションは「SAML」「OAuth」「OpenID Connect」「SCIM」などの標準プロトコルを使用して実装されています。

これらのオープンスタンダードにより、ドメイン間での認証およびアクセス情報の安全な送信が可能になります。

「IDフェデレーション」の2つのプロバイダー

「IDフェデレーション」は、以下の2つのプロバイダーが協調して動作することで機能します。

IDプロバイダー

IDプロバイダーは、ユーザーIDの「作成」「管理」「認証」を担当するエンティティです。

ユーザープロファイル情報管理

ユーザーIDに関するプロファイル情報は、IDプロバイダーが管理するデータベース内に保持されます。

・ユーザーID
・ユーザー名
・Eメールアドレス
・所属情報
・アクセス権限ロール など

ユーザーID認証

IDプロバイダーは、サービスプロバイダーからのユーザーID認証リクエストに対して認証を実施し、アサーションと呼ばれるメッセージを返信します。

リクエストや返信では「OAuth2」や「SAML2」などのデータ形式を利用します。

アサーションメッセージには、『サービスプロバイダーがユーザーとのセッションを確立し、リソースアクセス範囲を決定するために必要なその他の属性情報』が含まれます。

IDプロバイダーの例

・AzureAD
・Googleフェデレーション など

サービスプロバイダー

サービスプロバイダーとは、ユーザーに対して各種サービスを提供するエンティティを指します。

「Microsoft 365」「Google Workspace」「Salesforce」「Slack」などのサービスが該当します。

ユーザーがサービスプロバイダーにログインしようとすると、そのサービスプロバイダーは信頼関係を結んでいるIDプロバイダーに対して、ユーザーID認証を委任します。

その後、IDプロバイダーからサービスプロバイダーに返信された認証結果に従い、ユーザーログインの許可(拒否)を実施します。

「IDフェデレーション」の導入メリット

IDフェデレーションは、接続されたシステム全体のセキュリティを強化し、ログインプロセスを簡素化して、企業の生産性を向上させます。

ユーザーエクスペリエンス向上

ユーザーは1回ログインするだけで、フェデレーションドメインのすべての「サービス」「アプリケーション」「システム」などにアクセスできます。

企業ライン全体でのシングルサインオンが可能になります。

ユーザー資格情報の保護

IDフェデレーションでは、エンドユーザーの資格情報(ID+パスワード)をIDプロバイダー内に格納することによって機能します。

ユーザーがサービスにログインする時に、対象サービスに対してログイン資格情報を提供せずに認証を実施できるため、ログイン資格情報の漏洩リスクや悪用リスクを低減できます。

セキュリティ向上

ユーザーは1セットの資格情報を扱うだけになるため、セキュリティは向上します。

IDフェデレーションソリューションにより、企業はシステムとリソース全体でID認証を管理し保護できます。

同一パスワードの使いまわしなど、ユーザーの不適切なセキュリティ慣行の発見と対策にも活用できます。

IT運用コスト削減

ユーザーが利用するサービスが30個存在する場合でも、IDフェデレーションにより一括で管理できるため、IT運用コストは大きく削減できます。

企業のデータ管理の簡素化にもつながります。

「IDフェデレーション」と「シングルサインオン」の違い

「IDフェデレーション」と「シングルサインオン」は密接に関連していますが、同じではありません。

・「IDフェデレーション」は「シングルサインオン」を提供できます。
・「シングルサインオン」は「IDフェデレーション」を提供できません。

シングルサインオン

シングルサインオンでは、ユーザーは1回のログインで複数のサービス(アプリケーション)にサインインできます。

しかし「単一ドメイン内のアクセス」に限られます。

IDフェデレーション

IDフェデレーションでは「複数ドメインに対するシングルサインオンアクセス」が可能です。

このことから、「IDフェデレーション」は「シングルサインオン」の上位互換として理解できます。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理における「 シングルサインオン 導入メリット」

「 シングルサインオン 」とは、1つの「ID+パスワード」のみでログインできるようになるID管理技術です。「セキュリティ強化」「ユーザーアクセス管理強化」「ユーザーエクスペリエンス向上」「IT運用コスト削減」「セキュリティ基盤のためのベースステップ」などのシングルサインオン導入メリットを紹介します。

「 シングルサインオン 」とは、1つの「ID+パスワード」のみでログインできるようになるID管理技術です。「セキュリティ強化」「ユーザーアクセス管理強化」「ユーザーエクスペリエンス向上」「IT運用コスト削減」「セキュリティ基盤のためのベースステップ」などのシングルサインオン導入メリットを紹介します。

「シングルサインオン」とは

1つの「ID+パスワード」のみでログイン

シングルサインオン(SSO:Single Sign-On)とは、ユーザーが「1セットの資格情報(ID+パスワード)」を使用して、複数のアプリケーション(サービス)に安全にアクセスできるようにするユーザー認証技術です。

アプリケーション(サービス)ごとに「ID+パスワード」を覚えたり入力したりする必要がなくなるため、すべてのユーザー(従業員や顧客)のログインエクスペリエンスを合理化できます。

シングルサインオンが可能となるアプリケーション(サービス)の例

・メッセージング—電子メールアカウント、Slack、Skype
・社内基幹系システム—生産、人事、財務
・社内情報系システム—社内ポータル、ビジネスインテリジェンスポータル
・クラウドサービス—Microsoft365、Google Workspace など

「フェデレーションID管理」の一部

SSO(シングルサインオン)は、「フェデレーションID管理」と呼ばれるより大きな概念の一部であるため、「フェデレーションSSO」と呼ばれることもあります。

「フェデレーションID管理」とは、2つ以上の「ドメイン」または「ID管理システム」の間で作成される信頼関係を指します。

そのため、シングルサインオン機能は、多くの場合、フェデレーションID管理アーキテクチャ内で使用できます。

IDアクセス管理(IAM)におけるSSOの役割

IDおよびアクセス管理機能(IAM:Identity and Access Management)は、組織がユーザーアクセスのすべての側面を管理するのに役立ち、シングルサインオン機能はIAM基盤の上で動作します。

シングルサインオン機能は、ユーザーIDを確認し、適切なアクセス許可レベルを提供するために不可欠であり、「アクティビティログ」「アクセス制御」「ユーザー動作監視」などの各プロセスと統合されている必要があります。

IDaaSソリューション

IDaaS(Identity-as-a-Service)ソリューションは、ID管理に関する機能を単一パッケージとして提供するクラウドサービスであり、シングルサインオン機能も提供します。

「セキュリティ」「プロビジョニング」「ワークフロー」などに関する作業を簡略化でき、ユーザーエクスペリエンスを向上できるため、多くの企業で導入が進んでいます。

シングルサインオン導入メリット

企業がシングルサインオンを導入すると、幅広いメリットを享受できます。

セキュリティ強化

ユーザーが複数の「ID+パスワード」を利用している環境では、パスワードの「再利用」「書き留め」「他ユーザーとの共有」など、パスワード漏洩リスクが増加します。

シングルサインオンを導入して、ユーザーが管理する必要のある「ID+パスワード」の数を減らすことにより、エンタープライズセキュリティを強化できます。

パスワード漏洩は基本的な侵入手段であるため、複数パスワードへの依存を減らすことで、フィッシングによるセキュリティ侵害の可能性を低下できます。

ユーザーアクセス管理の強化

シングルサインオンにより、「どのユーザーが?」「いつ?」「どこから?」「どのアプリケーションに?」アクセスしたかについてのリアルタイムでの把握が容易になるため、企業がシステム整合性を保護しやすくなります。

主なメリット

・ユーザーアクセス権構成—ユーザーの役割、部門、優先順位レベル
・アクセスレベルの透明性と可視性を常に確保
・デバイス紛失などのセキュリティリスクへの迅速な対処
・重要データなどへのアクセスを即座に無効化 など

ユーザーエクスペリエンス向上

従業員の生産性向上

シングルサインオンにより、従業員は仕事をするために必要なリソースに簡単にアクセスできます。

セキュリティを犠牲にすることなくアクセスを高速化することで、重要タスクに集中する時間を増やすことができます。

顧客ユーザーエクスペリエンス向上

顧客は一度ログインすると、自社が提供するすべての製品やサービスに簡単にアクセスできます。

毎回ログインする手間がないことは、購入決定のための重要な要素となります。

IT運用コスト削減

パスワード初期化作業

シングルサインオン導入で、ユーザーが管理する「ID+パスワード」の数を減らせることにより、情報システム部門の「パスワードリセット作業」も減らすことができます。

ヘルプデスクチケット1件あたりの工数は小さいものかもしれませんが、大きな組織となると累計工数は莫大なものため、大きなコスト削減効果を期待できます。

「ユーザー」と「サービス」のスケールアップ

シングルサインオン導入による資格情報管理自動化のおかげで、システム管理者は、「全ユーザーの各アプリ(サービス)登録管理作業」を大幅に簡略化できます。

人的エラーの要因が減るとともに、「ユーザー数」や「ログイン対象アプリ(サービス)数」のスケールアップが容易になります。

セキュリティ基盤のためのベースステップ

シングルサインオン導入は、企業全体のセキュリティを強化するための最初のステップとなります。

シングルサインオン基盤をベースとすることで、多くのセキュリティベストプラクティス実装をスタートできます。

・多要素認証(MFA)の展開
・ID証明機能
・リスク評価機能
・同意管理ツール接続
・各種コンプライアンス対策 など

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト