Windows Azure Active Directory で 2,000億回の認証を処理 – ユーザー、データ、デバイスの接続を世界規模で


このポストは、11 月 27 日に投稿された Windows Azure Active Directory Processes 200 Billion Authentications - Connecting People, Data and Devices Around The Globe の翻訳です。

マイクロソフトはクラウド コンピューティングへの変革を推し進めており、その全過程にわたってユーザーの皆様にご協力いただいています。これまでに、非常に多くのお客様がクラウドの利用を開始してくださっています。Windows Azure プラットフォームで認証サービスの提供を開始した 2010 年以降、マイクロソフトが処理した認証回数は 2,000 億回、アクティブ ユーザーのアカウント数は 5,000 万人に及び、これにより、クラウド規模のコンピューティングにおける重要な中間目標を達成しました。現在では、1 週間あたりの認証要求数は平均 47 億回、要求元のドメイン数は 42 万を超えています。同業他社が年間 70 億回のログイン処理を目標としていることから、この処理数は非常に大きなワークロードであることがわかりますが、Windows Azure はこれに近い回数を 1 週間でこなしています。

この数字を見て、とてつもなく大きい値だとおわかりいただけると思います。おおまかにいうと、コーヒーを淹れる 2 分の間に、Windows Azure Active Directory (AD) は世界中のさまざまなデバイスやユーザーから送られてくる認証要求を 100 万回以上処理しているのです。膨大な数の認証処理を実行しているだけではなく、その速度にも目を見張るものがあります。応答速度は 9,000 回/秒、米国での認証処理には平均 0.7 秒以下しかかからず、先ほど淹れたコーヒーに口をつける暇もありません。

クラウド コンピューティングは間違いなく進化しつつあり、マイクロソフトはそれに応じてクラウド サービスを提供してきました。6 年前 (英語) に導入したクラウド生産性サービスの 1 つに、教育機関のお客様を対象とした Live@edu があります。これは大学の電子メールやインフラストラクチャ管理の手間を省き、高等教育機関が、未来を担う学生の教育に専念できるように支援するサービスです。今回、この Live@edu の機能が拡張されて Office365 for Education  となり、電子メール、カレンダー、Office Web Apps、ビデオ、オンライン会議、ドキュメント共有の各機能にどこにいてもアクセスできるようになりました。

クラウド サービスを革新し続けている中、Microsoft Office365 の認証処理がすべて Windows Azure AD で実行されていることは、あまり知られていないかもしれません。他にも、Windows Azure AD はマイクロソフトの自社開発クラウドベース SaaS 製品のディレクトリとして使用されています。その製品には、Microsoft Dynamics CRM Online、Windows Server Online Backup、Windows Intune のほか、Windows Azure 自体も含まれます。これについては、また後日ご説明する予定です。

さらに、Windows Azure AD はマイクロソフトのサービスの枠を超えて、マイクロソフトのお客様だけでなく、サード パーティの開発者にも使用されています。Windows Azure AD では、高速かつ拡張可能なクラウド ベース認証サービスを提供しています。また、必要に応じて、オンプレミスで使用されている既存の Windows Server Active Directory (AD) とのフェデレーションおよび同期も可能です。Gartner 社のレポートによると、95% の組織が既に AD を内部で展開済みであるとされているため、これは重要な機能です。

既存の Windows Server AD を Windows Azure AD に接続すると、ハイブリッド環境の管理ができます。これにより、統合認証機能の提供、およびクラウドとオンプレミスの両方のサービスおよびサーバーへのアクセス管理が可能になると共に、新規の独立したクラウド ディレクトリのメンテナンス作業が不要になります。さらに、Windows Azure AD は複数のプロトコルおよびトークンの種類をサポートしているので、アプリケーションでこれを利用すると、スマートフォン、タブレット、複数の PC、デスクトップ機、サーバー OS など、業界標準の Web ブラウザーをサポートしているすべてのデバイスからアクセスできます。

さらに詳細な説明をするうえで、鍵となる概念がいくつかあります。1 つに、Windows Azure AD は、高いスケーラビリティと可用性、統合的な災害復旧機能を備えたマルチテナント サービスとして、クラウド環境で運用されることを前提に構築されています。AD を取得してホスト環境内の仮想マシンで運用するだけではなく、他にも大きな価値があります。

  • 認証要求 (サービスへのログインなど) がユーザーやデバイスから Windows Azure AD へ送信されます。認証の種類にはさまざまなものがありますが、一般的な例として、ユーザーの Outlook の電子メールを携帯電話から更新したり、Windows Azure 管理ポータルにログインしたり、といったものが挙げられます。
  • フェデレーション機能が Windows Azure AD に実装されており、既存のオンプレミス インフラストラクチャと連携してシングル サインオンが可能になると共に、ユーザーのパスワードをオンプレミス サーバーに保持することもできます。また、フェデレーションでは多要素認証機能オプションも使用可能で、IT のセキュリティ強化に寄与します。
  • シングル サインオンは、ユーザーがログイン操作を 1 回行うと、他のサービスやアプリケーションであっても、ログイン時に認証情報の再入力が不要になる機能です。これは Windows Azure AD の重要な機能であり、ユーザーはセキュアかつ簡単な方法で、Azure 上で実行されているリソースに接続できます。

ここでは成功例の 1 つとして、'ハイブリッド' アーキテクチャと Windows Azure を活用して、IT 管理を実施しながらコスト削減とエンドユーザー エクスペリエンス向上を実現した、ジョージア州立大学 (GSU) の例を紹介します。

GSU (英語) では、クラウドベースの Microsoft Office365 に移行したことにより、運用コストが 100 万ドル削減されると共に、Windows PC、Mac、その他のさまざまなモバイル デバイスを使用しているモバイル ワーカーやリモート ワーカーのサポートも改善されました。また、既に計画済みの Windows Server AD や Microsoft Office アプリケーションなどのオンプレミス展開との相互運用性も向上しました。副学部長兼最高情報責任者を務める J.L. Albert 氏は「オンプレミス サーバーの管理が不要になり、フルタイムの従業員 2.5 人分の労力が削減されました」と語っています。

この事例では、マイクロソフトが GSU と共同で作業を進め、オンプレミスの AD でフェデレーションされた ID とシングル サインオン機能が完全に Office365 でサポートされました。Windows Azure AD を使用して、すべて統合されたのです。このアプローチにより、GSU の IT 部門では、従業員 1 人につき 1 組のユーザー ID とパスワードを管理するのみとなったため、IT 担当者とユーザーの双方の時間が節約され、より優先度の高いプロジェクトに IT リソースを再分配できるようになりました。IT プロダクション サービス担当ディレクターの Bill Gruska は「以前は複数のプロセスが必要とされていましたが、シングル サインオンを活用することで、すべてが統合され、貴重な時間を節約できるようになりました」と述べています。

Windows Azure AD を使用してマイクロソフトの SaaS 製品への認証およびシングル サインオンを実行する方法、および開発者や IT プロフェッショナルとして Windows Azure AD を活用する方法についての詳細は、John Shewchuk のブログ記事「ソーシャル エンタープライズに向けた Active Directory の見直し」の第 1 部第 2 部、および Alex Simon のブログ記事「Windows Azure Active Directory プレビューの機能強化」を参照してください。皆様のご利用をお待ちしております。Windows Azure Active Directory プレビューは、こちらのページからアクセスできます。

最後までお読みいただき、ありがとうございました。

Bill Hilf Windows Azure 担当 ゼネラル マネージャー

 

Comments (0)

Skip to main content