[今月の技術トピック] ママ、Active Directory ってもういらなくなるの?

  • Article

「ママ、Azure Active Directory (Azure AD) が最近すごいことになってるね!」
「そうね。Azure AD ドメイン サービスのリリースも予定されてるよね。」
「うちも Azure AD に移行しようよ!」
「パパに相談してからね。」

 

間違いなく、最近よく聴く会話です。異論は受け入れません。

 

この親子の会話からもわかるように、Azure Active Directory は、当初はクラウド サービス向けのアイデンティティ プロバイダーでしたが、徐々にオンプレミスとの関係性も深くなりつつあります。

 

<例>
● Windows 10 は Azure AD に直接サインインできる
● Azure AD アプリケーション プロキシを使用して社内アプリの認証に Azure AD が使える
● ドメイン コントローラーになれる Azure AD ドメイン サービスのリリースが予定されている
など。

 

そうなると、当然出てくる疑問があります。

 

「ママ、もしかしたらオンプレミスの Active Directory っていらなくなるんじゃない?」
「うーん、どうなのかしら?」
「だってさ、OpenID Connect もしゃべれないのよ!」
「そうね。Authorization Code Grant も Public Client だけだしねぇ。」
「そうそう! こんなんじゃ、誰もオンプレミスで OAuth 2.0 なんて使わないじゃない!」
「今晩、パパに相談してみようかしら」

 

おっしゃるとおり、Windows Server 2012 R2 では Azure AD のように OpenID Connect がサポートされていませんし、
OAuth 2.0 のグラントタイプも Authorization Code Grant for Public Client のみです。

 

このまま放置すると、将来こんな会話が家庭の中で繰り広げられそうです。

 

「ママ! 剛君のママに私の数学の点数言ったでしょ!」
「しょうがないじゃない。Public Client なんだから。」
「だから早く Azure AD に移行しようって言ってるのに!」

 

娘さんのお気持ちはよくわかります。しかし、本当に Azure AD に完全移行することは可能なのでしょうか?
オンプレミスには多くのリソースが Active Directory ドメインと関連づけられています。
Active Directory ドメインが支持される大きな理由は 2 つです。
1 つ目は Kerberos (ケルベロス)。Kerberos で守られた壁の内側では、アクセス権に応じて、単一のユーザー ID で様々なリソースに SSO することができます。
2 つ目はグループ ポリシーです。AD ドメインに参加している Windows PC は集中管理されたガバナンスによって自動管理されるため、管理コストを大幅に削減することができます。
多くの IT 管理者は、これら 2 つの機能にすぐに手放すことはできないでしょう。
しかも、Azure AD は Kerberos をしゃべることができません。Azure AD ドメイン サービスというドメイン コントローラー機能が将来リリース予定ですが、現時点ではどこまでできるかは何とも言えないところです。
ファイル サーバーの問題もあります。AD の場合ファイル サーバーへのアクセスは ACL (アクセス コントロール リスト) によって管理されていますが、既存のファイルサーバーを Azure AD でアクセス管理する機能は、まだ提供されていません。Azure AD でアクセス コントロールするには、OneDrive for Business などの SaaS タイプのファイル サーバーに移行する必要があります。
当然、運用を変えざるを得ないでしょう。

 

冒頭で述べた通り、Azure Active Directory は日々進化しており、徐々にオンプレミスへの影響力を増しています。将来、すべてのアクセス制御を Azure AD で実現できる日が来ると信じていますが、それはまだ先の話でしょう。それまで、オンプレミス AD はこれまでと変わらず企業ガバナンスの中枢であり続けます。

 

Windows Server 2016 AD では、進化しつつある Azure AD に追いつくべく大幅な機能強化がなされています。
親子の会話でも出てきた OpenID Connect のサポート、OAuth 2.0 グラントタイプのサポート強化など、クラウドで一般的な認証テクノロジーがこぞってオンプレミス AD にも実装されます。
これは、クラウドとオンプレミスで「アプリケーションの認証設計」と「アクセス コントロールの手法」が統一できるということです。さらには、クラウドで培われたセキュアな認可プロセスをオンプレミスに導入できることも意味しています。業務アプリケーションによっては、どうしてもクラウドが適さないものもあるはずです。しかし、クラウドで一般的に使われている認可プロセスは、社内システムにとっても有用なはずです。新しい Active Directory はそうしたニーズを吸収すべく、大きく進化します。

 

2016 年 3 月 18 日、マイクロソフトの品川オフィスにて Active Directory & Security Conference 2016 が開催されました。当日は 300 人近いエンジニアの方々にご参加いただきました。
そこで実施された全 12 セッションのうち、公開可能なもの 10 セッションをマイクロソフトの動画サイトに公開しました。AD の歴史をたどるパネル ディスカッションから、Azure AD を使用した SSO、Java アプリへの Azure AD 認証の実装方法など、実に多彩なセッションで構成されています。しかも、すべてが Active Directory 関連です。

 

 

この中でも特に人気の高いのが、Windows Server 2016 の新機能について解説した以下のセッションです。

 

『Windows Server 2016 Active Directory 最新情報』テクニカル エバンジェリスト 高添 修、サポートエンジニア 太田 卓也

是非ご覧ください。

 

日本マイクロソフト株式会社
エバンジェリスト
安納 順一 <Blog