COLUMN

Windowsベースの環境、クラウドや外部サービスID連携を支援 AWS Directory Serviceの概要と4つのシナリオ

複数のIT機器やWebサービスを利用していると、機器の設定やユーザーおよびユーザー権限の管理が煩雑になりがちです。Windowsベースの環境であれば、Microsoft Active Directoryを使った設備の設定やポリシー適用、そしてユーザー・権限などの一元管理が可能で、多くの企業に採用されています。AWSは、このMicrosoft Active Directoryに対応した「AWS Directory Service」を提供しており、その適用範囲はクラウドや外部のWebサービスにまで広がります。いくつかの利用シーンとともに、その特徴を紹介します。

組織内のITリソースなどの管理を容易にするMicrosoft Active DirectoryをAWSサービスに適用できる

組織内で利用されているサーバーをはじめとする、たくさんのリソースを管理することは大変です。それぞれのリソースには固有の設定やデータ、利用できるユーザーアカウントの情報などが保持されています。Windowsベースのシステム環境ではMicrosoft Active Directoryを利用しているケースが多いでしょう。これは、Windowsネットワークの認証や情報セキュリティ基盤となる仕組みで、1回のサインオンで、組織内のさまざまなリソースにアクセスできる環境を提供するものです。

AWSは、既存のMicrosoft Active DirectoryからAWS上に構築したリソースにアクセスできる機能であるAWS Directory Serviceを提供しています。このサービスにより、Active Directoryのほとんどの機能が AWSアプリケーションで利用できます。このため、AWSクラウドにActive Directoryのデータを複製することなく、既存のActive Directory のユーザーとグループの認証を通じて、新たに配備したAWSリソースやツールにアクセスできるようになるのです。

AWS Directory Serviceでは、AWSクラウド上にMicrosoft Active Directoryの仕組みを提供可能

IT管理者は、AWS上のサーバーやリソースごとにユーザー認証の設定をする必要はありません。また、共通のポリシーを新たなリソースに適用させることも簡単にできます。

Active Directoryの仕組みとAWSとを連携する4つのシナリオ

Microsoft Active Directoryでは、組織内のコンピューターやユーザーなどをまとめて管理するための仕組みを「ドメイン」と呼び、その管理機能を提供するサーバーを「ドメインコントローラー」といいます。組織の目的によって、メインコントローラーは社内の環境に置いたまま、あるいはAWSクラウドに拡張していくなど、さまざまな展開シナリオが考えられます。ここでは、4つのシナリオについて紹介してみましょう。

シナリオ1：オンプレミスにドメインコントローラーを配置

すべてのActive Directoryサービスがオンプレミス側に存在している場合は、オンプレミスとAWSの接続時に認証に時間がかかってしまうため、遅延が許されない本格的なサービス・アプリケーション利用環境には向いていません。

遅延が許されるテストや開発を目的とする環境ならこの構成でも利用に耐えうる

シナリオ2：オンプレミスのドメインコントローラーをAWSのVPC に拡張

オンプレミスにあるドメインコントローラーの機能をAWSの仮想ネットワーク環境Amazon VPCに拡張することにより、VPCにあるサーバーはVPC上のドメインコントローラーに接続でき、シームレスに利用が可能となります。なお、ドメインコントローラーをAWSクラウド内で展開する場合には、異なる複数のアベイラビリティゾーンに展開されるため、可用性においても優れているといえます。

Active DirectoryサービスがVPCにも適用されるため認証の遅延は生じない
RDGW：Remote Desktop Gateway、GC：Global Catalog

シナリオ3：新しいActive DirectoryサービスをAWSに展開

AWS上の仮想ネットワーク環境に配備したEC2インスタンスに、新しくActive Directoryサービスをインストールすることもできます。オンプレミス側にActive DirectoryがなくてもAWS上だけでもActive Directoryを展開できるのです。

Active Directoryでは、一部の情報を異なるドメインで共有可能。情報を共有できる範囲を「フォレスト」というが、このケースではAmazon VPCにのみドメインやフォレストが存在することになる。
RDGW：Remote Desktop Gateway、GC：Global Catalog

シナリオ4：AWS Directory ServiceにてActive DirectoryサービスをAWSに展開

EC2インスタンスにActive Directoryをインストールせず、AWS Directory Serviceを使ってActive Directoryを展開するシナリオです。また、オンプレミス側と接続する場合でも、Active Directoryのフォレストとの信頼関係を構築できます。

AWS Directory Serviceは最大で5万ユーザー、20万オブジェクトの管理ができる
RDGW：Remote Desktop Gateway

Active DirectoryフェデレーションサービスによるさまざまなID連携

Active Directoryは、サインインした後に生成されるトークンをもとに認証情報を外部サービスで利用できるフェデレーションサービス（ADFS）をサポートしています。トークンを利用することで、ネットワーク外部のユーザーがWebアプリケーションプロキシ（WAP）経由で、VPCに配置されたADFSにアクセスできます。Webアプリケーションプロキシとは、ネットワークの境界に配置してADFSと連携し、外部ユーザーからのアクセスを認証したうえで、外部ユーザーがネットワーク内部のリソースを利用できるようにする仕組みです。ネットワーク内部をインターネットにさらさずに、アクセス権に応じて、外部ユーザーが内部のリソースにアクセスさせることができるのです。

WAP 経由の認証により、VPN接続をしなくてもネットワーク内のリソースを利用可能

なお、ADFSによる認証は、スマートカードやデバイスによる認証など、多要素認証に対応しており、既知のデバイスのみアクセスする権限を付与する設定が可能です。たとえば、企業で管理しているデバイスのみにアクセスを許可する設定もできます。

ID連携によるコンソールへのサインイン

AWSのルートアカウントの代わりに、Active DirectoryのユーザーIDとパスワードを使ってAWSのマネジメントコンソールにサインインすることができます。ユーザーがADFSにリクエストをしてActive Directoryの認証を得られると、トークンを発行し、それを使ってAWSコンソールへサインインをする流れになります。

AWSでは、SAML（Security Assertion Markup Language）を利用したID連携をサポートしている

また、AWSに設定した利用者認証とアクセスポリシーの管理を行うAWS Identity and Access Management (IAM)を使ったID連携も可能です。この場合は、たとえば、「閲覧のみ」「管理者」「特定のS3バケットは読み書き可能」など、グループやユーザーの権限を設定することができます。

IAMに設定したユーザーやグループごとの権限をAWS Directory Serviceのユーザーに割り当てます。各ユーザーがURL経由でログインすると、Active Directoryへのリクエストを経て、各役割が適用された状態でログインできます。

Active Directoryの認証プロトコルにより認証チケットを得て権限の範囲で利用

Active Directory Connectorを使った外部サービスとのシングルサインオン

Amazon Directory Serviceには、Microsoft Active Directoryへのリクエストを処理するゲートウェイとしてActive Directory Connector（AD Connector）という機能を提供しています。これを利用すると、既存の認証情報をもとにActive DirectoryやAWSのさまざまなリソースにアクセスすることができます。

Microsoft 365（旧 Office365）のほかGoogleアプリケーションなど、さまざまな外部のWebサービスやアプリケーションを使用する組織は多いと思いますが、それぞれで利用するIDやパスワードの管理は煩雑になりがちです。
そのような問題を解決するため、1つのIDとパスワードを入力することにより、AD Connectorを利用して、複数のWebサービスやアプリケーションにアクセス権に応じたログインを実現する「シングルサインオン」のサービスが各社から提供されています。

各外部サービスから、シングルサインオンサービスを介してAD Connectorに接続し、AWS内のActive Directoryと連携するのです。

Microsoft 365（旧 Office365）だけを利用するならAD Connectorは必要ないが、たくさんのサービスを利用している場合はシングルサインオンと組み合わせて連携する

AWS Directory Serviceの料金

AWS Directory Serviceは、多くのAWSサービスと同様に初期費用や最低利用料金はかからず、使用するマネージド型ディレクトリのタイプとサイズに基づいて課金されます。詳しくは、公式ページをご覧ください。

AWS Directory Service の料金（AWS公式ページ）
https://aws.amazon.com/jp/directoryservice/pricing/

まとめ

ITリソースや利用ユーザー数が増えるに従い管理が難しくなるため、多くの企業がMicrosoft Active Directoryを使い各種サービスの認証管理を行っています。Active Directoryの適用範囲はAWSのクラウドにも拡張可能で、EC2インスタンスにActive Directoryの機能をインストールすることもできますし、AWS Directory Serviceを使って、オンプレミスのActive Directoryと信頼関係を保った環境も構築できます。

また、Webサービスやアプリケーションなど、利用サービスが増えると当然ID・パスワードも増えていき、組織内での管理が非常に煩雑になる恐れがあります。トークンをもとに外部サービスを利用できるフェデレーションサービスやMicrosoft Active Directoryへのリクエストを処理するゲートウェイAD Connectorを利用することで、ID管理をよりシンプルにできます。

すでにMicrosoft Active Directoryを利用されている組織ではクラウドへの拡張や外部アプリケーション連携のために、まだ導入していない組織で管理が困難になってきたと感じてきたときに、AWS Directory Serviceの導入を検討されると良いでしょう。