ソーシャル エンタープライズに向けた Active Directory の見直し (第 1 部)


このポストは、5月24日に投稿された Reimagining Active Directory for the Social Enterprise (Part 1) の翻訳です。

マイクロソフトの組織向け ID 管理サービスである Windows Azure Active Directory について、この数年間非常に静かに開発を進めてきました。私たちのチームが行ったこれまでの開発の成果に関して、より多くの情報を皆さんと共有できるようになったことをうれしく思います。

Active Directory チームの優秀なエンジニアである Kim Cameron が投稿した今日のブログ記事 (英語) では、サービス型 ID 管理の導入により ID 管理の方法が大きく変わる可能性がある、と書かれています。本稿では、マイクロソフトがこの新しい世界で Active Directory サービスの運用方法をどのように見直しているか、その展望について説明します。

ID 管理ソリューションには、Windows Server オペレーティング システムの Active Directory などがあります。このような機能は、これまで長い間使用されてきました。通常、Active Directory は中規模以上の組織で使用され、ID 管理システムの構築と運用に多大な労力とコストが必要ですが、代わりにさまざまなメリットがあります。その例を次に示します。

  • 幅広いアプリケーションやリソースに対応したシングル サインオン (SSO) およびアクセス制御。
  • アプリケーション間での情報共有。この情報にはユーザー、グループ、報告関係、役割、連絡先情報、プリンターの場所、およびサービスのアドレスなどが含まれます。
  • ドキュメントの暗号化、およびドキュメントへのアクセスの制御による情報保護。
  • コンピューター、プリンター、ファイル、アプリケーションなどのリソースの検出。
  • ユーザー、グループ、および役割の管理、パスワードのリセット、暗号キー、証明書、アクセス ポリシー、デバイスの設定の構成および配布を実行するツール。

これらの機能は、さまざまな組織で構築された幅広いソリューションで活用されてきました。Active Directory は、他のソフトウェア ベンダーの ID 管理製品と組み合わせて展開されることもよくあります。また、Active Directory には、情報へのアクセス管理に使用する強固な基盤を提供するとともに、機密情報へのアクセス許可を承認されたユーザーだけに付与するという機能があります。これは Active Directory の用途の中でも特に重要なものの 1 つです。同様に、組織内のユーザー間のコラボレーションを実現するための基盤としても使用されます。さらに、Active Directory Federation Services や類似のサービスを使用すると、異なる組織のユーザー間でもコラボレーションが可能です。

しかし、小規模な組織では、ID 管理システムの構築や維持、関連アプリケーションの統合は非常に困難でコストもかかるため、あまり検討対象にされることはありませんでした。ID 管理ソリューションを首尾よく展開している組織でも、ID 管理の省力化や適用範囲が課題となっています。

この記事は 2 部構成となっています。第 1 部では、クラウド アーキテクチャの活用方法、およびスケールに応じたコストで利用できるクラウドのメリットについて説明します。Active Directory の強力で多彩な機能が、IT 担当スタッフがいない小規模な組織にとっても現実的なコストで、ターンキー サービスとして利用可能であることをご理解いただけます。これはマイクロソフトが非常に重要と考えている点で、ID 管理の "民主化" 実現への第 1 歩となるものです。これにより、基盤となるプラットフォームやテクノロジに関係なく、あらゆる組織において、あらゆるソフトウェア開発者が ID 管理を基本的な機能として利用できるようになります。

第 2 部では、クラウドで Active Directory をターンキー サービスとして利用すると、企業のソーシャル化推進にどのように役立つかを説明します。また、他の SaaS (software-as-a-service) アプリケーション、クラウド プラットフォーム、組織の顧客、およびソーシャル ネットワークと Active Directory の接続を利用するアプリケーションの開発が容易になることについても説明します。

Active Directory は強力なソリューションで、既に広く展開されています。このようなソリューションを発展させる際には、新たな機会を活用することに注目するだけではなく、新たな問題が発生しないように十分に注意する必要があります。このドキュメントでは、Active Directory の見直しが必要とされる背景を説明すると共に、この作業を進める上で重要な概念をいくつか取り上げます。

Windows Azure Active Directory とは

Active Directory は、広く展開されているエンタープライズ クラスの ID 管理ソリューションで、インターネット規模でマルチテナント サービスとしてクラウドでの運用が可能です。また、可用性が高く、災害復旧機能も統合されています。Windows Azure Active Directory は Microsoft Office 365 および Windows Azure ベースのアプリケーションに対応した堅牢な ID およびアクセス管理サービスで、2011 年 11 月に初めて発表されました。

マイクロソフトは、インターネット利用を重視した接続性、モバイル機能、コラボレーションなどの新機能を追加し、Windows Azure Active Directory の強化を進めました。これにより、Windows Azure Active Directory はアプリケーションの環境やプラットフォームを問わず利用できるようになりました。iPhone などのモバイル デバイス、Amazon Web Services などのクラウド プラットフォーム、Java などのテクノロジといったさまざまな環境で動作するアプリケーションに対応しています。

Windows Azure Active Directory は、簡単に言うと、マイクロソフトが組織の Active Directory をクラウドで運用できるようにしたものです。組織内で稼働している Windows Server オペレーティング システムの Active Directory 機能と同様に、Windows Azure から使用可能な Active Directory サービスは、"お客様の組織の" Active Directory になります。これはお客様の組織のディレクトリなので、だれをユーザーにするか、ディレクトリにどのような情報を保存するか、だれが情報を管理および使用できるか、およびどのアプリケーションからその情報にアクセスできるかは、お客様が決定できます。既にオンプレミスの Active Directory を使用している場合は、使用中のものと同じディレクトリがクラウドに拡張されます。新たにディレクトリのコピーが作成され、別途管理が必要になることはありません。

マイクロソフトは責任を持って Active Directory の稼動状態を維持します。クラウドの利点である規模の大きさ、可用性の高さ、災害復旧機能の統合などを活かしつつ、情報のプライバシーやセキュリティに関するお客様の要件にも完全に対応します。

以上、概要を簡単に説明しました。次に、組織が Microsoft Office 365 にサインアップしたときのディレクトリの作成手順、および使用方法について説明します。Windows Azure Active Directory が簡単に使用できることがおわかりいただけると思います。

Windows Azure Active Directory と Office 365

現在、Microsoft Office 365、Microsoft Dynamics CRM、Windows Intune のソフトウェアとサービス、および多くのサード パーティ製アプリケーションで Windows Azure Active Directory が利用されています。このようなサード パーティ製アプリケーションは、大企業から実績のあるソフトウェア ベンダー、企業向け製品を中心とする新興企業まで、さまざまなところで作成されています。ここでは、Office 365 を取り上げます。Windows Azure Active Directory が Office 365 でどのように活用されているかを説明します。

新しい組織が Office 365 にサインアップすると、マイクロソフトは自動的にその Office 365 アカウントに関連付けられた新しい Windows Azure Active Directory を作成します。サインアップのときにユーザーがなんらかの操作をする必要はありません。

Active Directory 作成後は、Office 365 アカウント所有者は簡単にディレクトリにユーザーを追加できます。次の図は、私の個人用 Office 365 アカウントに新しいユーザーを追加しているところです。

アカウント所有者は、ユーザーのパスワードの管理、役割の決定、アクセス可能なアプリケーションの指定などができます。次の図は、これらの設定の実行例です。

次に、アカウント所有者が Office 365 にサインアップするときに感じる特長をいくつか紹介します。

  • 使いやすさ。前の例で示したように、Windows Azure Active Directory は非常に簡単に使用できます。私の場合は、Office 365 にサインアップしただけで大規模、高可用性で災害に強い Active Directory が作成され、特に何かの操作をする必要もなく、すぐに使用できるようになりました。実際、多くの Office 365 ユーザーは、バックグラウンドで Active Directory が動作していることには気付きません。
  • 複数のアプリケーションにまたがるシングル サインオン。Windows Azure Active Directory の存在に気付いていなくても、組織やユーザーはこのディレクトリによって実現される汎用的なユーザー エクスペリエンスの価値の大きさをすぐに実感できます。Office 365 の全アプリケーション (Microsoft Exchange Online、SharePoint Online、Lync Online、および Office Web Apps) は Windows Azure Active Directory と連携しているため、ユーザーはシングル サインオンを利用できます。さらに、この共通の ID により、情報の保護など、Active Directory の高度な機能も使用できるようになります。Windows Azure Active Directory の SSO 機能は、マイクロソフト製であるかサード パーティ製であるかにかかわらず、あらゆるテクノロジを利用して実行されるあらゆるアプリケーションで使用できます。したがって、1 つのアプリケーションにサインインしたユーザーは、再びサインイン操作をしなくても別のアプリケーションを使用できます。
  • 共有コンテキスト。アプリケーションが Windows Azure Active Directory による SSO を利用できるようになると、そのアプリケーションはディレクトリ内の情報 (ユーザー、グループ、セキュリティ ロールなどに関する情報) を使用できます。これによって、アプリケーションは最新の状態に保たれ、関連性も高くなります。これにより、ユーザーが使用するアプリケーションごとにこの情報の再作成や同期などの管理をする必要がなくなるので、ユーザーの時間と労力を大幅に節約できます。
  • 効率的で可用性の高い運用。Office 365 をご利用のお客様は、Windows Azure Active Directory の使用について別途料金を支払う必要はありません。Windows Azure および Windows Azure Active Directory の使用料金は、Office 365 ソリューションの料金に含まれています。この豊富な ID 管理機能のセットをリーズナブルなコストで提供できる主な理由の 1 つとして、Windows Azure Active Directory の構築にクラウド アーキテクチャを使用しており、スケールに合わせてクラウドを利用できるという点が挙げられます。これについては、また後で説明します。

使いやすさ、SSO などの優れた共通エクスペリエンス、アプリケーション間でのコンテキストの共有 (組織内のユーザー、ユーザーの関係、役割などの情報を含む)、効率的で可用性の高い運用によって、Windows Azure Active Directory は多くのアプリケーションやサービスの優れた基盤となっています。

既存の Active Directory 展開の使用

前の例で示したように、新しい組織が Windows Azure Active Directory を新たに使用開始する場合は、非常に簡単です。それでは、既に Active Directory をオンプレミスで ID 管理に使用している組織の場合はどうでしょうか。マイクロソフトでは、Windows Azure Active Directory を既存のディレクトリと簡単に "接続" できるようにしています。技術的なレベルでは、組織は既に展開済みの Active Directory と Windows Azure Active Directory の間で ID フェデレーションとディレクトリの同期を実行できます。

組織でこの処理を実行した場合、Active Directory はオンプレミスとクラウドの両方の環境に展開されたと言えます。Active Directory には、オンプレミスとクラウドの両方の環境に展開し運用できる、ハイブリッドモードがあります。組織は新しいクラウド ベースのプラットフォームや SaaS アプリケーションを手軽に活用しながら、既存のアプリケーションや ID 管理プロセスはそのまま実行できます。

さらに、ビジネスや規制などの都合によりパスワードなどの特定の重要な情報をオンプレミスのサーバーに保存する必要がある組織にとっては、ハイブリッド モードで実行できることは非常に重要です。

インターネット規模、高可用性をすぐに実現

Windows Server の Active Directory ソフトウェアをコピーしてクラウドで実行するだけで Active Directory をサービスとして使用できるとお考えの方もいらっしゃるかも知れませんが、それぞれのお客様が Windows Azure で新しい仮想マシンを作成し、その仮想マシン上で Active Directory を実行するだけでは、Windows Azure Active Directory の特長である効率的な運用や高可用性を活用できません。

Active Directory サービスを、増分サービスの機能も含めて大規模に高可用性を維持しながら運用し、同時に統合された災害復旧機能も利用できるようにするために、Active Directory の内部アーキテクチャを大幅に変更し、サーバー ベースのシステムから、スケールアウトに対応したクラウド ベースのシステムへと移行しました。その一例として、これまでは 1 つのサーバーが Active Directory ストアとして動作すると共に資格情報の発行も担当していましたが、これらの機能を独立した別の役割に分割しました。トークンの発行は Windows Azure のスケールアウトの役割が担当し、一方 Active Directory ストアはこれと切り離され、複数のサーバーにまたがって動作し、データセンター間で運用できるようになりました。

これらのアーキテクチャの変更に加えて、Active Directory の運用方法もクラウドでの利用を考慮して刷新されました。多くの開発者、お客様、パートナーと意見を交わした結果、Google や Facebook などのソーシャル ネットワークで使用している新しいインターネット ベースの ID、新しい SaaS アプリケーション、およびその他のクラウドプラットフォームと Active Directory を "接続する" 機能の強化が求められていることがわかりました。

マイクロソフトは、これを実現するための作業に多くの人材およびチームを動員しました。しかし、すべての機能をインターネット規模で動作させることは困難で、開発には数年を要しました。

その努力はすばらしい成果を挙げ、今日では、何十万もの組織が、Office 365、Windows Intune、および多くのサード パーティ製アプリケーションなどで、Windows Azure Active Directory をアプリケーションの一部として有料で使用しています。たとえば、Hickory Farms (英語) や Patagonia (英語) で、Office 365 やその基盤となる Windows Azure Active Directory が使用されています。同様に、Windows Azure Active Directory を使用してカスタム アプリケーションを構築している組織もあります。たとえば、ヨーロッパの easyJet (英語) では、フライトのチェックインなど、空港の地上職員のタスク管理に Windows Azure Active Directory によるアクセス制御や Windows Azure サービス バスを使用しています。

第 2 部の予告

第 1 部では、どのように Active Directory をクラウド サービスとして再構築するかを中心に説明しました。クラウドのアーキテクチャと経済性を活用すると、組織的な ID 管理の機能が、規模や IT 化のレベルが異なるさまざまな組織で使用可能になり、使いやすさ、コストの低さ、可用性の高さなどのメリットを得られます。

この記事をお読みになり、サービス型の Active Directory が既に利用可能であり、取得および組織への導入が非常に簡単にできることをご理解いただければさいわいです。Office 365 などの SaaS アプリケーションおよび Windows Azure やその他のプラットフォームで構築されたカスタム アプリケーションなど、多くのアプリケーションが既に Windows Azure Active Directory に統合されています。

組織内の IT プロフェッショナルおよびユーザーにとって、これらの統合には多くのメリットがあります。その例としては、SSO などの共通のエクスペリエンス、アプリケーション間でのコンテキスト (組織内のユーザー、ユーザーの関係、役割に関する情報など) の共有、一貫性のある管理、既存のディレクトリの展開および ID 管理プロセスをシームレスにクラウドへ展開する機能、および効率的で可用性の高い運用が挙げられます。

次の記事では、この Active Directory の見直しが開発者にとってどのような意味を持つのか、およびクラウドへの移行において、Active Directory の役割を見直すためにマイクロソフトとソフトウェア開発者がどのように協力してきたのかについて説明します。Windows Azure Active Directory 統合に伴う開発者の作業がどれほど簡単になったか、および企業のソーシャル化を実現するためのプラットフォームとして Windows Azure Active Directory を活用する方法について、ご期待ください。

特に、開発者が、コンシューマー指向の ID の処理、ソーシャル ネットワークとの統合、新しいアプリケーションへのディレクトリ内の情報の組み込みを実現するアプリケーションをより簡単に作成できるようにするための、Windows Azure Active Directory の機能強化およびプログラミング モデルについて注目します。さらに、開発者が Windows Azure Active Directory を使用して、これまで ID 管理が果たしてきた "ファイアウォールの内側" での役割を超える新しいシナリオをサポートする方法についても紹介します。私たちは、開発者と連携し、組織およびユーザー向けにこのような次世代のエクスペリエンスおよび機能の構築を支援できることを楽しみにしています。

Comments (0)

Skip to main content