[シングルサインオン] Azure ADでは不十分?Azure ADとトラスト・ログインを併用する
オンプレミスのActive Directoryを利用してきたユーザー企業の多くが、Azure ADへの移行を検討しています。そして、移行後もAzure ADを利用して、ローカルとクラウドの両方のシングルサインオンを行いたいと希望されています。しかし、オンプレミスのActive DirectoryとAzure ADには機能差があることをあらかじめ理解する必要があります。
ローカルとクラウドの両方でシングルサインオンを行いたい場合、Azure ADへの移行ならびオンプレミスActive Directoryとの併用が唯一の解決策ではありません。概要をご理解いただいた上で、当社のトラスト・ログインがどのようにお役に立つか以下でご紹介します。
オンプレミスActive DirectoryとAzure ADの違い
まず、オンプレミス型Active Directoryと、Azure ADの違いについて簡単に理解しましょう。
|
オンプレミス Active Directory |
Azure AD |
|
|
動作環境 (ドメインコントローラー) |
オンプレミスの物理サーバー |
クラウド |
|
クライアント・グループ管理 |
グループポリシー (組織ユニット OU を利用) |
管理ユニット AU を利用 オンプレミスと同等の機能を利用するにはIntune必須 |
|
認証方式 |
Kerberos NTLM |
SAML 2.0 OAuth 2.0 OpenID Connect WS-Federation |
|
二要素認証 (二段階認証) |
不可能 |
可能 |
|
シングルサインオン |
ドメイン内またはADFS環境 |
クラウドサービス |
オンプレミスのActive Directoryは、「同一ドメインならびADFS環境へのシングルサインオン、ドメイン内のリソース管理は得意だが、クラウド登場前の製品で新機能対応がない」のが特徴です。逆に、Azure ADは「クラウド型のActive Directoryが故に、クラウドサービスへのシングルサインオンなどが強いが、ローカル環境へのシングルサインオンが行えない」のが特徴です。
ちなみに、Azure ADの利用を検討している企業は、「新規にAzure ADを構築する」「既存のオンプレActive Directoryを残しAzure ADと同期させる」「Azure上の仮想マシンにActive Directoryを構築し、これをAzure ADと同期させる」といった方法があります。これにより、ローカル環境へのシングルサインオンも可能となります。
コスト面を検討する
上記では、「新規にAzure ADを構築する」「既存のオンプレActive Directoryを残しAzure ADと同期させる」「Azure上の仮想マシンにActive Directoryを構築し、これをAzure ADと同期させる」の3つの方法をお伝えしました。では、以下でできること、できないことならびコスト面を比較してみたいと思います。
|
(1)新規Azure ADのみ |
(2)オンプレADとAzure AD併用 |
(3)Azure上にAD構築しAzure ADと併用 |
|
|
できること |
クラウドへのシングルサインオン |
クラウドならびローカルへのシングルサインオン |
クラウドならびローカルへのシングルサインオン |
|
できないこと |
ローカルへのシングルサインオン |
- |
- |
|
ライセンス |
Azure AD P1またはP2 |
Azure AD P1またはP2 オンプレWindows Serverライセンス オンプレWindows CAL |
Azure AD P1またはP2 Azure仮想マシン |
|
その他費用 |
Azure Ad構築費用 |
Azure AD構築費用 Azure ADとオンプレADの接続構築費用 ハードウェア費用 |
Azure AD構築費用 Azure上のオンプレAD構築費用 |
まず、短期的に最も費用がかかるのが、(2)オンプレADとAzure AD併用、となります。Azure AD構築に必要なライセンスに加えて、オンプレADを構築するためのライセンス費用と物理ハードウェア費用がかかります(既に構築済みの場合は費用はかかりません)。また、自社で構築できない場合はシステム会社に支払う構築作業費用もかかります。
次に費用がかかるのが、(3)Azure上にAD構築しAzure ADと併用、となります。オンプレADをAzure上の仮想マシンで動作させるので、物理マシン上で動作させる際に必要となるライセンスは不要ですが、Azure上でWindows Serverを動作させる仮想マシンの費用が分単位で必要となります。短期的にみると物理サーバーやライセンスを購入する(2)が最も高額ですが、利用期間や規模などによっては(3)が高額となる場合もあり得ます。なお、こちらの場合はAzure AD、Azure仮想マシン上のオンプレADの構築費用がかかります。
最も安価なのは、(1)新規Azure ADのみ、となります。しかし、Azure ADのみとした場合は、ローカル環境へのシングルサインオンは行えません。
Azure ADとトラスト・ログインを併用するメリット
ここで、Azure ADとオンプレADを併存させる方法でなく、Azure ADと当社のトラスト・ログインを併用する方法をご提案します。
(1)トラスト・ログインでオンプレミス・クラウド両方へのシングルサインオンが行えます
トラスト・ログインは。クラウドへのシングルサインオンを行うことを目的として開発された製品ですが、オンプレミスで動作するサーバーに対してのログインも行えます。例えば、Azure ADを導入後に、別にAzure仮想マシン上にオンプレミスADをシングルサインオン目的で立てるのは、構築費用ならび運営費用を考えると高額になります。この代わりに、トラスト・ログインを利用して、オンプレミス環境とクラウドの両方のシングルサインオンを安価に実現できます。
(2)国産アプリの多くに対応しています
2019年7月現在、Azure ADでは3,000を超えるクラウドアプリに対応していますが、国産アプリで対応している製品はまだまだ少ないのが現状です。例えば、ヤフージャパンや、楽天関連のサービスといった大手の国産サービスですら未対応です。よって、国産アプリを多用している企業にとっては、「せっかくAzure ADを導入したのに、自社で利用しているアプリでは使えない」ということになってしまいます。
トラスト・ログインは、日本企業であるGMOグローバルサインが日本で開発したシングルサインオンサービスです。日々、お客様からの要望をもとに国産アプリの追加対応を行っています。結果、おそらく日本で開発されたアプリに最も多く対応したシングルサインオン製品となっています。ヤフージャパン、楽天関連はもちろんのこと、大手の法人向けサービス、国内金融機関のオンラインサービスなどにも幅広く対応しています。
(3)二要素認証 (二段階認証) による認証強化に対応しています
Azure ADでも二要素認証(二段階認証)に対応していますが、トラスト・ログインも対応済です。二要素認証以外にも、IPアドレス制限、クライアント証明書認証などにも対応しており、認証を強化できます。
(4)月額わずか300円で利用できます
クラウドへのシングルサインオン、認証強化のほか、オンプレミスAD連携やOffice 365連携などの豊富な機能を、1ユーザーあたりわずか300円で利用できます。Azure AD構築後にオンプレADを維持・構築するのに比べれば、大幅なコストダウンが実現できます。
また、トラスト・ログインはADと異なり、複雑な構築は不要で、簡単な設定だけで利用できます。このため、ライセンス費用だけでなく構築費の削減にも役立ちます。
Azure ADとトラスト・ログインの併用で認証強化とコストダウンを実現
お伝えしてきました通り、Azure ADを利用しながらオンプレミス環境へのシングルサインオンを行うには、「オンプレADを何らかの形で持ち続ける」だけが唯一の選択肢ではありません。「Azure ADとトラスト・ログインを併用する」方法も検討する価値があります。
ぜひ、トラスト・ログインの資料をご請求いただき、貴社環境での最適なシングルサインオンの実現を検討いただければと思います。
