読者です 読者をやめる 読者になる 読者になる

Active Directoryと、Azure ADと、ADFSと、、、

Active DirectoryとAzure AD、この2者の違いでよく言われるのは

Active Directory:企業向け
Azure AD:ドメイン境界を抜けられないActive Directoryの弱点を克服した新しいAD

のような感じでしょうか。

正直なところ、凝り固まった私の脳みそでは何言ってるのかチンプンカンプンで、
この界隈はわかる人スゲー。とみていたのですが、
そのうちツケはやってくるもので、自分で見なければならないタイミングがやってくるわけです。

そんなこんなで、この2つの違いを私なりに考察した結果、導き出したのが、以下。

Active Directory:ポリシーを効かせてPCの統一管理を実現するシステム。その中にIDの統一化も入っている。(どのPCでも1IDでアクセス管理)

Azure AD:Active DirectoryのID統一の概念だけ持ってきたモノ。IDはAzure AD内で管理。また、Office365のIDもこれ。オプション機能として、社内でIDを管理していないもの(Facebook IDとか、GoogleIDとか)を紐づける役割を持っている。

以下はイメージ(やっぱりペンあると便利だなぁ、、)

Office365-【Azure AD ID】 【Active Directory ID】ー社内システム

この概念の中ではOffice365を利用する際にIDが2つに分かれて管理されます。
=ID/Passwordが2組管理される。管理だけならユーザー負担で押し付ければよいのですが、連携システム作るとなると連携したい側がIDとパスワード持つ必要が出てきます。Office365のSharePointAppsなどで、SharePointにアップロードされたファイルを社内サーバーにファイルを展開するような仕組みを作りたいと思うと、Office365側に社内ADのID/Passwordを教えないとならなくなるわけです。

社内の機密情報にアクセスできるキーを上の例でいうとAzure AD(=すなわちマイクロソフト)に渡したらまずいことになる。そこでそんな嫌な状況を打破すべく出てくるのがADFS。ADFSを利用するとまず親となるIDシステムを決めることになります。(一般的にはActive Directory)そのIDシステムと、信頼する次のIDシステムを疑似的に接続するのがADFSの役割といった感じでしょうか。

Active DirectoryのIDとAzure ADの例えばメール属性(双方で一意になる情報)で信頼しあうことで、以下のような内容で連携するのです。

Office365-【Azure AD ID】ーメールアドレスー【Active Directory ID】ー社内システム

そうすると、信頼するIDシステムで認証されているメールアドレスなら信頼できるということで、そのメールアドレスを持ったユーザーが来たら、無条件でログインしていることにしちゃおう。という仕組みがADFSなのです。

眠りながら文章書いてるので筆が乱れてて申し訳ないですが、私の理解はこんな感じです。
参考になるかはわかりませんが、こういったイメージで見ていくとそれぞれわかりやすいんではないでしょうか。

 

音楽:saga