COLUMN

Windowsベースの環境、クラウドや外部サービスID連携を支援 AWS Directory Serviceの概要と4つのシナリオ

複数のIT機器やWebサービスを利用していると、機器の設定やユーザーおよびユーザー権限の管理が煩雑になりがちです。Windowsベースの環境であれば、Microsoft Active Directoryを使った設備の設定やポリシー適用、そしてユーザー・権限などの一元管理が可能で、多くの企業に採用されています。AWSは、このMicrosoft Active Directoryに対応した「AWS Directory Service」を提供しており、その適用範囲はクラウドや外部のWebサービスにまで広がります。いくつかの利用シーンとともに、その特徴を紹介します。

組織内のITリソースなどの管理を容易にするMicrosoft Active DirectoryをAWSサービスに適用できる

組織内で利用されているサーバーをはじめとする、たくさんのリソースを管理することは大変です。それぞれのリソースには固有の設定やデータ、利用できるユーザーアカウントの情報などが保持されています。Windowsベースのシステム環境ではMicrosoft Active Directoryを利用しているケースが多いでしょう。これは、Windowsネットワークの認証や情報セキュリティ基盤となる仕組みで、1回のサインオンで、組織内のさまざまなリソースにアクセスできる環境を提供するものです。

AWSは、既存のMicrosoft Active DirectoryからAWS上に構築したリソースにアクセスできる機能であるAWS Directory Serviceを提供しています。このサービスにより、Active Directoryのほとんどの機能が AWSアプリケーションで利用できます。このため、AWSクラウドにActive Directoryのデータを複製することなく、既存のActive Directory のユーザーとグループの認証を通じて、新たに配備したAWSリソースやツールにアクセスできるようになるのです。

AWS Directory Serviceでは、AWSクラウド上にMicrosoft Active Directoryの仕組みを提供可能

IT管理者は、AWS上のサーバーやリソースごとにユーザー認証の設定をする必要はありません。また、共通のポリシーを新たなリソースに適用させることも簡単にできます。

Active Directoryの仕組みとAWSとを連携する4つのシナリオ

Microsoft Active Directoryでは、組織内のコンピューターやユーザーなどをまとめて管理するための仕組みを「ドメイン」と呼び、その管理機能を提供するサーバーを「ドメインコントローラー」といいます。組織の目的によって、メインコントローラーは社内の環境に置いたまま、あるいはAWSクラウドに拡張していくなど、さまざまな展開シナリオが考えられます。ここでは、4つのシナリオについて紹介してみましょう。

シナリオ1:オンプレミスにドメインコントローラーを配置

すべてのActive Directoryサービスがオンプレミス側に存在している場合は、オンプレミスとAWSの接続時に認証に時間がかかってしまうため、遅延が許されない本格的なサービス・アプリケーション利用環境には向いていません。

遅延が許されるテストや開発を目的とする環境ならこの構成でも利用に耐えうる

シナリオ2:オンプレミスのドメインコントローラーをAWSのVPC に拡張

オンプレミスにあるドメインコントローラーの機能をAWSの仮想ネットワーク環境Amazon VPCに拡張することにより、VPCにあるサーバーはVPC上のドメインコントローラーに接続でき、シームレスに利用が可能となります。なお、ドメインコントローラーをAWSクラウド内で展開する場合には、異なる複数のアベイラビリティゾーンに展開されるため、可用性においても優れているといえます。

Active DirectoryサービスがVPCにも適用されるため認証の遅延は生じない
RDGW:Remote Desktop Gateway、GC:Global Catalog

シナリオ3:新しいActive DirectoryサービスをAWSに展開

AWS上の仮想ネットワーク環境に配備したEC2インスタンスに、新しくActive Directoryサービスをインストールすることもできます。オンプレミス側にActive DirectoryがなくてもAWS上だけでもActive Directoryを展開できるのです。

Active Directoryでは、一部の情報を異なるドメインで共有可能。情報を共有できる範囲を「フォレスト」というが、このケースではAmazon VPCにのみドメインやフォレストが存在することになる。
RDGW:Remote Desktop Gateway、GC:Global Catalog

シナリオ4:AWS Directory ServiceにてActive DirectoryサービスをAWSに展開

EC2インスタンスにActive Directoryをインストールせず、AWS Directory Serviceを使ってActive Directoryを展開するシナリオです。また、オンプレミス側と接続する場合でも、Active Directoryのフォレストとの信頼関係を構築できます。

AWS Directory Serviceは最大で5万ユーザー、20万オブジェクトの管理ができる
RDGW:Remote Desktop Gateway

Active DirectoryフェデレーションサービスによるさまざまなID連携

Active Directoryは、サインインした後に生成されるトークンをもとに認証情報を外部サービスで利用できるフェデレーションサービス(ADFS)をサポートしています。トークンを利用することで、ネットワーク外部のユーザーがWebアプリケーションプロキシ(WAP)経由で、VPCに配置されたADFSにアクセスできます。Webアプリケーションプロキシとは、ネットワークの境界に配置してADFSと連携し、外部ユーザーからのアクセスを認証したうえで、外部ユーザーがネットワーク内部のリソースを利用できるようにする仕組みです。ネットワーク内部をインターネットにさらさずに、アクセス権に応じて、外部ユーザーが内部のリソースにアクセスさせることができるのです。

WAP 経由の認証により、VPN接続をしなくてもネットワーク内のリソースを利用可能

なお、ADFSによる認証は、スマートカードやデバイスによる認証など、多要素認証に対応しており、既知のデバイスのみアクセスする権限を付与する設定が可能です。たとえば、企業で管理しているデバイスのみにアクセスを許可する設定もできます。

ID連携によるコンソールへのサインイン

AWSのルートアカウントの代わりに、Active DirectoryのユーザーIDとパスワードを使ってAWSのマネジメントコンソールにサインインすることができます。ユーザーがADFSにリクエストをしてActive Directoryの認証を得られると、トークンを発行し、それを使ってAWSコンソールへサインインをする流れになります。

AWSでは、SAML(Security Assertion Markup Language)を利用したID連携をサポートしている

また、AWSに設定した利用者認証とアクセスポリシーの管理を行うAWS Identity and Access Management (IAM)を使ったID連携も可能です。この場合は、たとえば、「閲覧のみ」「管理者」「特定のS3バケットは読み書き可能」など、グループやユーザーの権限を設定することができます。

IAMに設定したユーザーやグループごとの権限をAWS Directory Serviceのユーザーに割り当てます。各ユーザーがURL経由でログインすると、Active Directoryへのリクエストを経て、各役割が適用された状態でログインできます。

Active Directoryの認証プロトコルにより認証チケットを得て権限の範囲で利用

Active Directory Connectorを使った外部サービスとのシングルサインオン

Amazon Directory Serviceには、Microsoft Active Directoryへのリクエストを処理するゲートウェイとしてActive Directory Connector(AD Connector)という機能を提供しています。これを利用すると、既存の認証情報をもとにActive DirectoryやAWSのさまざまなリソースにアクセスすることができます。

Microsoft 365(旧 Office365)のほかGoogleアプリケーションなど、さまざまな外部のWebサービスやアプリケーションを使用する組織は多いと思いますが、それぞれで利用するIDやパスワードの管理は煩雑になりがちです。
そのような問題を解決するため、1つのIDとパスワードを入力することにより、AD Connectorを利用して、複数のWebサービスやアプリケーションにアクセス権に応じたログインを実現する「シングルサインオン」のサービスが各社から提供されています。

各外部サービスから、シングルサインオンサービスを介してAD Connectorに接続し、AWS内のActive Directoryと連携するのです。

Microsoft 365(旧 Office365)だけを利用するならAD Connectorは必要ないが、たくさんのサービスを利用している場合はシングルサインオンと組み合わせて連携する

AWS Directory Serviceの料金

AWS Directory Serviceは、多くのAWSサービスと同様に初期費用や最低利用料金はかからず、使用するマネージド型ディレクトリのタイプとサイズに基づいて課金されます。詳しくは、公式ページをご覧ください。

AWS Directory Service の料金(AWS公式ページ)
https://aws.amazon.com/jp/directoryservice/pricing/別ウィンドウで開きます

まとめ

ITリソースや利用ユーザー数が増えるに従い管理が難しくなるため、多くの企業がMicrosoft Active Directoryを使い各種サービスの認証管理を行っています。Active Directoryの適用範囲はAWSのクラウドにも拡張可能で、EC2インスタンスにActive Directoryの機能をインストールすることもできますし、AWS Directory Serviceを使って、オンプレミスのActive Directoryと信頼関係を保った環境も構築できます。

また、Webサービスやアプリケーションなど、利用サービスが増えると当然ID・パスワードも増えていき、組織内での管理が非常に煩雑になる恐れがあります。トークンをもとに外部サービスを利用できるフェデレーションサービスやMicrosoft Active Directoryへのリクエストを処理するゲートウェイAD Connectorを利用することで、ID管理をよりシンプルにできます。

すでにMicrosoft Active Directoryを利用されている組織ではクラウドへの拡張や外部アプリケーション連携のために、まだ導入していない組織で管理が困難になってきたと感じてきたときに、AWS Directory Serviceの導入を検討されると良いでしょう。

移行準備段階で知っておくべきAmazon Web Servicesの
サービスを学び、具体的にクラウド検討を考える!

クラウドを活用したサービス提供において得られたノウハウで、
御社の認証基盤をスムーズにAWSへ移行します。

ページ上部へ戻る

無料ダウンロード

自社のクラウド導入に必要な知識、ポイントを
このに総まとめ!

あなたはクラウド化の
何の情報を知りたいですか?

  • そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
  • 【AWS・Azure・Google Cloud】
    どれが自社に最もマッチするの?
  • 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
  • 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?

初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。

NTT東日本では
そんなあなたにクラウド導入に必要な情報を

1冊の冊子にまとめました!

クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・

  • システムインフラの維持にかかるトータルコストがあまり変わらない。。
  • 情シス担当者の負担が減らない。。
  • セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
  • そもそも”クラウド化”とは?
    その本質的なメリット・デメリット
  • 自社にとって
    最適なクラウド環境構築のポイント
  • コストを抑えるため
    具体的なコツ
  • 既存環境からスムーズにクラウド化
    実現するためのロードマップ

など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。

クラウドのわからない・
面倒でお困りのあなたへ

クラウドのご相談できます!
無料オンライン相談窓口

NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!

NTT東日本が選ばれる5つの理由

  • クラウド導入を
    0からワンストップでサポート可能!
  • 全体最適におけるコスト効率・業務効率の改善
    中立的にご提案
  • クラウド環境に問題がないか、
    第3者目線でチェック
    してもらいたい
  • 安心の24時間・365日の対応・保守
  • NTT東日本が保有する豊富なサービスの組み合わせで
    ”課題解決”と”コスト軽減”を両立

特に以下に当てはまる方はお気軽に
ご相談ください。

  • さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
  • オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
  • オンプレミスとクラウド移行した際のコスト比較を行いたい
  • AWSとAzure、どちらのクラウドが自社に適切かわからない
  • クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
  • クラウド利用中、ネットワークの速度が遅くて業務に支障がでている

クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。

相談無料!プロが中立的にアドバイスいたします

クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。