Office365 ADFSの有用性について

最近、Azure Active Direcotry Connectorにパススルー認証とハッシュ同期という仕組みが出来まして、ADFSをやめてこの2種に移行するOffice365ユーザーが多くなっているように感じます。

AADCのマシンだけ(パススルーの場合はエージェントも)準備すれば利用できるため、簡単に構築するという点においてはかなり評価できる仕組みに仕上がっているのかと思います。

では、ADFSはもう不要なのか。というとそういったわけでもないと思っており、かつその内容は中々一般に理解されていないのではないかと思っています。

ADFSとAADCの2つでの大きな違いは、パスワードをどこに入力するのか。ということです。

ADFSの場合は、自分たちで用意したADFSサーバー、もしくはProxyサーバーにパスワードを入力することになります。
一方、パススルー、ハッシュ同期のいずれも入力先はMicrosoftの認証サービス側になります。(SSOする場合は入力するわけではないので、入力はオンプレADになりますが、非動作時はMicrosoftの認証サービスへの入力となるようです。)

パスワードの解析という点ではAADCのハッシュ同期はMicrosoft認証側、パススルーはエージェントを介してオンプレAD側で実施する形になります。
(一方、ADFSはオンプレAD側ですね。)

この辺りを理解しておくと、ADFSを自社で構えておく意味というところも合わせて理解できるのではないかと。

安全性という意味では常時は大差ないのかもしれませんが、社内のマシンへのアクセスキーとなるパスワードをどのような形で晒すのか。というのは昔から議論されているところであり、CHAPやらKerberos、OAuth、OpenIDなどの技術が示すようにパスワードそのものを外部に出さないというのが現代のポリシーとして一定の評価があるのかと思います。

AADCの考え方は、この観点に対する新しい方法論を出そうとしているとも言えなくはないですが、現時点では微妙な選択肢になるような気がします。あくまで私論ですが。

考え方もやり方も、時代時代でどんどん新しくなっていくものであり、一概に何が良い。という話ではないかもしれませんが、選択する際にはどういったものなのか知ったうえで検討する。というスタンスは大事ですので、取捨選択の一助になれば幸いです。

【参考】

Azure AD Connect: シームレス シングル サインオン | Microsoft Docs

Azure AD Connect: シームレス シングル サインオン - しくみ | Microsoft Docs

音楽:アイモ O.C.