7. AD DS を Azure に構築するメリット (1/2)
コスト(維持費)低減
7
社内 データセンター
初期導入費
DC 費用
HW 保守費用
数年後にはリプレイス・・・
AD DS1号機 AD DS2号機
AD DS3号機
Microsoft Azure社内
初期導入費:なし
Azure 費用 < オンプレDC費用
HW 保守費用:Azure 費用に含む
リプレイス:不要
AD DS3号機
AD DS1号機 AD DS2号機
VPN
VPN
8. 認証の高速化によるサービス利便性の向上
AD DS を Azure に構築するメリット (2/2)
8
Microsoft Azure
AP サーバー
File サーバー
AD DS
社内
利用者が増えるとVPN越し
の通信負荷も増え、認証に
時間がかかってしまうよう
になる。
Azure 上に AD DS がいれ
ば、利用者が増えても認証
がスムーズ。
サービスへのログインもス
トレス無く利用できる。
Microsoft Azure
AP サーバー
File サーバー
AD DS
社内
AD DS
VPN
VPN
9. AD DS 1号機 AD DS 2号機
ハイブリッド環境における Azure 上での AD DS 構成例
9
※ 可用性セット
物理障害およびメンテナンスにより、
システムが落ちてしまうことを防ぐ設定
オンプレミス Microsoft Azure
可用性セット(※)
AD DS3号機 AD DS4号機
• オンプレミスの前提条件
• AD DS
• Site-to-Site VPN を実現できるルーター
(FW 等) 機器
VPN
20. Windows Server 2012 R2 の場合
20
AD DS
S2S VPN
Device
ディレクトリ同期
社内ドメイン社内ドメイン
社外 DNS
HTTPS:443ポート
を許可
社内ネットワーク Microsoft Azure
Web Application
Proxy
WORKGROUP
AD DS+AD FS
AD FS Proxy機能を
兼ね備えたリバース
プロキシ
Site to Site VPN
VPN AD FSをAD DSと同
じサーバーに同居可
※IIS不要
Web Application
Proxy のFQDN名前
解決
②AD FSに接続し、
認証要求
④認証完了
①Office 365にアク
セス、認証要求
AD オブジェクト
同期
③認証応答を返信
21. Windows Server 2012 以前の場合
21
AD DS
S2S VPN
Device AD DS
AD FS
ディレクトリ同期
社内ドメイン社内ドメイン
社外 DNS
HTTPS:443ポート
を許可
社内ネットワーク Microsoft Azure
AD FS Proxy
WORKGROUP
Site to Site VPN
VPN
Web Application
Proxy のFQDN名前
解決
②AD FSに接続し、
認証要求
③認証応答を返信
④認証完了
①Office 365にアク
セス、認証要求
AD オブジェクト
同期
23. Microsoft Azure Active Directory とは (1/2)
• クラウドで ID 管理機能、およびアクセス管理機能を提供するマルチ
テナント型ディレクトリサービス
• 提供機能
23
24. Microsoft Azure Active Directory とは (2/2)
Microsoft Azure Active Directory ≠ Windows Server Active
Directory
24
• Active Directory ドメインサー
ビス
• Windows 認証が可能
• Office 365 や Windows
Intune などが使用しているマ
ルチテナント型の認証サービス
• Windows 認証はできない
• 認証 HUB
• IDaaS / IDMaaS
Microsoft Azure Active Directory Windows Server Active Directory
(on premise / on Azure IaaS)
26. アプリケーションアクセス
• 既存 SaaS の認証を”インスタント”に MAAD に関連付ける
• Google Apps, Salesforce.com などは SSO/ID 同期も可能
26
Microsoft Azure
Active Directory
IDフェデレーション
ID同期
パスワード連携
※事前にID/Passwordを登録
Federation-Based Apps
Password-Based Apps
27. アクセスコントロール
• 外部認証サービスから RP 側へのトークンゲートウェイ
• ACS 自身は認証プロバイダーではない
27アクセス コントロール
トークン
変換
RP(SP)側
CP(IdP)側
Windows Server
Active Directory
ADFS
Microsoft Azure
Active Directory
(ディレクトリ)
Federation
Gateway
WS-Federation
OpenID OAuth 2.0
Identity Providers
Application A
Application B
WS-Federation
OAuth Wrap
28. 多要素認証プロバイダー
• 既存 IdP に認証要素を追加することができる独立したプロバイダー
28
多要素認証プロバイダー
(Multi-factor Authentication Provider)
• ワンタイムパスワード(*)
• 通知(*)
• 電話
• テキストメッセージ
ID / Password
Identity Providers
IE
管理ポータル
3rd Party
Webサービス
クラウドサービス
Web Application
オンプレミス
Microsoft Azure
Active Directory
AD DS
AD FS
(WS 2012 R2)
(*):スマートフォン専用 (iOS, Android, Windows Phone) アプリ
33. DNS の設定
DNS の設定は管理ポータル
※ OS 上で設定することも可能ですが、ポータルサイトからの停止(「割り当て解除済み」)やハードウェア障害による
ネットワークカード再構成などが発生すると OS 上のネットワーク設定が初期化されてしまいます。
33
ポータルサイトの仮想ネットワークを選択して対象の仮想ネットワークの構成で設定。
35. Azure 上のみで AD DS を展開
Azure 上のみで AD DS を展開する場合の留意点
35
オンプレミス
ファイルサーバー
VPNに障害が発生してしまうとオンプレミス内の
リソースにアクセスできなくなってしまう。
Microsoft Azure
可用性セット
AD DS1号機 AD DS2号機
VPN