ADFSとは|仕組みやメリット・デメリット、導入するならIDaaSとどちらがおすすめ?
この記事では、ADFSの概要や仕組み、IDaaSとの違いとそれぞれのメリット・デメリットを解説します。
■ADFSとは?
ADFSとは、Active Directory Federation Servicesを略したものであり、Active Directoryが持つ機能の一つです。Active Directoryは、企業の情報システム管理者がネットワーク上に散在するコンピュータや周辺機器、それらを利用する従業員の権限などを効率良く管理するために利用されます。
ADFSは、オンプレミスで運用しているActive Directoryにサインインして生成されたチケットをもとに、クラウドサービスの認証を可能にする機能です。事前に外部のクラウドサービスなどに利用者登録し、デジタル証明書などの設定を行なうことで実現します。
ADFSを利用すれば、所属組織のActive Directoryに利用者がログインを一度行なうだけで利用者が識別され、複数のサービスが利用可能になります。
■ADFSの仕組みについて
ADFSでは、Active Directoryと対象のクラウドサービスの間で“認証連携(フェデレーション信頼の作成)”を行ないます。Active Directoryとクラウドサービスなどを認証連携によってリンクさせ、利用者のアクセスを許可する仕組みです。
利用者のアクセスを許可するまでの流れは、次のとおりです。
1. 利用者がADFSサービスのURLへアクセス
2. Active Directoryを通じて、ADFSサービスが利用者を認証
3. ADFSサービスは認証完了後に利用者へクレーム(認証に必要な個人情報)を提供
4. 提供されたクレームを利用者のブラウザがクラウドサービスに転送し、事前に作成済みの認証連携サービスに基づきアクセス可否を判断
この4ステップを見てわかるとおり、クラウドサービス側では認証を行なっていません。事前に、Active Directoryとクラウドサービスが認証連携を行ない、アクセス許可を設定しておくことで、利用者は一度のログインでクラウドサービスのログインが可能になります。
■ADFSの4つの機能
ADFSには、おもに次に挙げる4つの機能が備わっています。それぞれどういった機能かを、一つずつ見ていきましょう。
◇多要素認証
ADFSによって多要素認証を実現できます。多要素認証はIDとパスワードだけの認証だけでなく、生体認証など異なる要素の認証を組み合わせた認証方式です。
ユーザーIDとパスワードは盗まれやすく、悪用されやすいリスクがあります。しかし、ユーザーIDとパスワードによる認証と、本人のみが突破できる認証を組み合わせることで、強固なセキュリティが実現できるのです。
ADFSではユーザーIDとパスワードでの認証に加え、SMS認証や電話認証など複数の認証方式を組み合わせて利用できます。
◇シングルサインオン
シングルサインオン(SSO)とは、一度のログインで複数のシステム・サービスを利用できることを指します。 ADFSの場合、社内のActive Directoryで一度認証すると、複数のシステム・サービスへログインできるため利便性が向上します。パスワード忘れなどのリスクも軽減できるでしょう。
ADFSを利用すると、ユーザーアカウントを社内のActive Directoryのみで一元管理でき、管理コストの低減も期待できます。
◇デバイス認証
ADFSはデバイス認証にも対応しています。デバイス認証は利用者のパソコンやスマートフォンなど、管理者が事前に登録したデバイスに限り、アクセスを許可する認証方式です。
ADFSでは、社内のActive Directoryへの登録有無に合わせて、アクセス可否を設定できます。
その他にも、業務上で使用するWindowsクライアントに限り、Office 365への接続を許可するなど、OSの種類を限定して設定することも可能です。
◇クライアントアクセスポリシー
クライアントアプリケーションやクライアントのIPアドレスなどの情報をもとに、Office 365やその他Microsoft Onlineサービスへのアクセス制御を実現します。
クライアントアクセスポリシーを利用すると、Microsoft Onlineサービスへのアクセスは社内からのみを許可する、などの設定が可能です。これにより、情報漏洩のリスク低減が期待できるでしょう。
■SSO(シングルサインオン)を実現するADFSとIDaaS
ここでは、双方のSSOを実現する方法を比較し、どちらを選択するべきかの判断基準を解説します。
また、SSOについて詳しく知りたい方は以下の記事でも解説していますので、こちらもぜひご覧ください。
SSO(シングルサインオン)とは?メリットやSSOの仕組み「SAML認証」について
◇ADFSでの実現方法について
ADFSを実現させるには、自社のオンプレミス環境下にActive Directoryサーバーが存在することが前提となります。Active DirectoryサーバーとADFSサーバーは別に用意することが推奨されており、別途ADFSサーバーを構築する必要があると考えてよいでしょう。
「ADFSの仕組みについて」の章で説明したとおり、Office 365などのクラウドサービスがActive Directoryと連携しており、利用者はADFSサーバーを介してクラウドサービスにログインすることでSSOを実現します。
なお、ADFSの機能に多要素認証やデバイス認証がありますが、利用するためにはMFAサーバーなど複数のサーバーの構築・構成が求められる点に注意しましょう。
◇IDaaSでの実現方法について
IDaaSはクラウドサービスであるため、まずは希望するIDaaSに申し込みが必要です。そして、オンプレミス環境のActive DirectoryとIDaaSを連携し、希望するクラウドサービスと連携することでSSOを実現します。IDaaSとクラウドサービスとの連携では、SAML認証を利用されることが大半です。
IDaaSを利用する場合は、オンプレミス環境のActive Directoryである必要はありません。つまり「既存の社内ID管理と統合することもできる」ということですが、多くの企業はActive Directoryを導入済みのため、Active Directoryとも連携することが大半でしょう。
IDaaSのサービス内容は提供する事業者によって異なるため、事前に対応端末やサービスをチェックすることをおすすめします。
◇ADFSとIDaaS、どちらを選択すべき?
どちらもSSOを実現できる手段です。しかし、より多くのクラウドアプリケーションや機能のサポートのために、カバーする範囲を広げたいと考えている場合にはIDaaSがおすすめです。
IDaaSは、非常に多くのクラウドサービスと事前に連携済みであり、即日SSOを実現できることも珍しくありません。例えば、トラスト・ログインは国内最多の6,000種類のテンプレートに対応しており、SAML対応しているWebアプリケーションの利用も可能です。
多くの企業でActive Directoryが利用されていることから、ADFSはパートナー企業との連携などでも利用されますが、より広範囲をカバーしたい場合にはIDaaSを選択するとよいでしょう
■ADFSとIDaaSのメリット・デメリット
ADFSとIDaaSの比較の一つとして、それぞれのメリット・デメリットを紹介します。IDaaSのメリットでは、ADFSから移行する際のメリットについても記載しています。
◇ADFSのメリット・デメリット
まずは、ADFSのメリット・デメリットを見ていきましょう。
・メリット
ADFSのメリットは、クライアントアクセスポリシーなどにより、きめ細かいアクセス制御ができる点です。ADFSはWindows Serverの機能のため導入しやすく、SSOを実現すれば利用者の利便性が向上することもメリットとして挙げられます。
また、連携するクラウドサービス側は、認証処理をADFSに依頼することで独自に認証情報を管理する必要がありません。このように余計なリスクを背負う必要がない点も、メリットといえるでしょう。
・デメリット
ADFSは無料の機能ですが、ADFSサーバーを構築するためのWindows Serverのライセンスやサーバー自体にはコストがかかります。また、多要素認証やデバイス認証を実現するためには複数のサーバー構築が必要になり、メンテナンス面でのコストがかかる点もデメリットです。
さらに、ADFSと連携するクラウドサービスが増えるたびにプロセスが発生し、技術的に複雑になってしまう点もデメリットといえるでしょう。
◇IDaaSのメリット・デメリット
次に、IDaaSのメリット・デメリットを紹介します。
・メリット
IDaaSのメリットは、ADFSに比べて容易にさまざまなシステム・サービスをSSOに統合できることです。IDaaSでは、事前に多くのクラウドサービスと連携済みであるため、新たにSSOへ統合する際のコストがADFSよりも少なくて済みます。
また、コスト面でもメリットがあります。ADFSの場合は、ハードウェアやソフトウェアのインストール、メンテナンスなどに関して、複数のコストが発生します。それに対し、IDaaSはカスタマイズ要件が最小なことやID管理が効率良く行なえることから、企業は総コストを大幅に削減することが可能です。
IDaaSを提供する事業者の多くは、ADFSを参考にクラウドプラットフォームとして提供しています。ADFSの複雑性を緩和し、可用性を高めて提供しているため、ADFSから移行する際にはその使い勝手の良さが大きなメリットとなるでしょう。
さらに、IDaaSはあらゆるデバイスから、時間や場所を問わず安全に接続できるように作られています。テレワークなどの新しい働き方が一般的になりつつある今、IDaaSがもたらす柔軟性もメリットの一つです。
・デメリット
IDaaSを利用する場合、サービスが障害などによって利用できなくなってしまうと、すべてのシステムにログインできなくなるおそれがあります。ADFSを利用する場合は自社で対応できますが、IDaaSの場合は事業者の対応待ちになるため、復旧が遅くなってしまうことも考えられるでしょう。
また、ADFSと比べて、より多くのシステムやサービスと連携することが考えられます。そのため、SSOのパスワードが漏れると、複数のシステム・サービスに影響が出るおそれがあります。
IDaaSを利用する際には多要素認証などの対策を講じ、信頼できるサービスの採用や障害時に備えた代替策の検討が必要です。
■IDaaSの導入を検討中なら「トラスト・ログイン」がおすすめ!
IDaaSを提供するサービスは多く存在しますが、これから導入を検討している方にはトラスト・ログインをおすすめします。
トラスト・ログインは、業務上で使用するGoogle WorkspaceやMicrosoft 365などのクラウドアプリ、社内システムへのSSOを実現できるクラウドサービスです。オンプレミス型のサービスとは異なり、高額な導入費用や構築のための長い期間は必要ありません。
トラスト・ログインは初期登録が無料で行なえ、基本プランなら0円でご利用いただけます。そして、SSOは次の3種類から選択が可能です。
1. ID/パスワードを記憶するフォームベース認証
2. ID/パスワードを使用しないSAML認証
3. 社内システムで多く利用されるBasic認証
そのため、社内で利用するすべてのアプリの入り口を1つにまとめられるでしょう。
トラスト・ログインは無料の基本プランでも、チャットやメールでのサポートを行なっています。SSL認証局として20年以上の実績があるため、万全のセキュリティ体制で安心してご利用いただけます。
トラスト・ログインの詳細についてはこちら
■まとめ
ADFSはActive Directory Federation Servicesの略称であり、SSOを実現できるActive Directoryの機能です。ADFSはSSOの実現だけでなく、多要素認証やデバイス認証によるセキュリティ管理、クライアントアクセスポリシーによる細かなアクセス制御も実現します。
SSOを実現する手段には、ADFSのほかにIDaaSもあります。もし、より多くのクラウドアプリケーションや機能をサポートしたいなら、IDaaSがおすすめです。IDaaSはADFSが持つ複雑性やコスト面での課題を解決しており、ADFSよりも容易に導入であることから、新規にID統合を考えている場合にも適しているでしょう。
この記事でご紹介したADFSとIDaaSのメリット・デメリットを参考に、自社の環境に合わせたID統合方法を検討してみてください。
この記事を書きました
森 智史
所属:GMOグローバルサイン トラスト・ログイン事業部
トラスト・ログイン プロダクトオーナー
