SSO実現のための、Active Directory構築

schedule 2017/09/06  refresh 2023/11/09

 

 

そもそも、Active Directoryとは

組織内ネットワークのみならず、クラウドまで含めた複合的、多層的なコンピュータシステムの利用が現実のものとなっている現代。利用者側の負担軽減と、高次元でのセキュリティ確保を両立させるシングルサインオンは、不可欠の技術となっている、そういえるでしょう。

 

シングルサインオンの中核を担う技術が、ディレクトリサービスです。これは、コンピュータネットワーク上のリソースについて、そのありかや属性、設定などの情報を収集・記録し、検索できるようにした仕組みをいいます。

 

ディレクトリサービスの中でも著名なものが、Microsoftが開発したActive Directory(以下AD)です。ADはDNSやケルベロス認証、LDAPといったインターネットにおけるオープンな技術にも対応しており、標準的な技術として認識されていると考えていいでしょう。

 

なお、シングルサインオンを提供するソリューションの多くは、このADとの連携(AD連携)が可能です。

 

 

進化するwebアプリ

冒頭でも述べたとおり、コンピュータシステムの利用は複合的かつ多階層的になっています。特にwebブラウザを用いたシステムでは、javaなどにより記述されたwebアプリが「痒いところにまで手が届く」ことを実現しました。

 

 

webアプリは、クライアントのプラットフォームを選びません。結果として、かつての、動作環境を選ぶリッチクライアイトシステムからの置き換えが進みました。

 

これに伴い、システム化できる範囲も増えてきました。たとえば、勤怠や給与などに関連する人事総務システムや情報流通の促進を主眼にしたグループウエアをはじめ、目標・業績管理や工程管理といった業務関係のシステムもwebアプリで実現しました。

 

かつてwebでは実現が難しいとされていた、稟議などを含むワークフローまでもが実現しています。

 

 

ADが必要な理由

これらのシステムについては、社内開発であっても、パッケージをカスタマイズするにしても、利用時のユーザー認証は必須となります。単純にいいますと、システムの数だけユーザーIDとパスワードの組み合わせが必要になります。

 

 

しかし現実的には、これらの認証情報の管理をユーザー任せにすることは、ユーザーの負担が大きくなります。すべてのユーザーが、適切な認証情報の管理が可能である保証もありません。

 

これらの問題を解決するアプローチとして、有用なのはユーザーに管理させる認証情報の数を可能な限り減らすことになるでしょう。それぞれのアプリケーションで有効な、共通の認証情報をもたせることです。

そして、その認証情報は一元的に管理される必要があります。これを提供するのがADで、これを用いた認証をAD認証とも呼びます。

 

 

環境の変化

ADの導入が、ほぼ必須事項になっていることは、お読みいただいた範囲で十分ご理解いただけるかと思います。しかし、かつてのADの導入は、Windows Serverのシステム上とはいえ、相応のスキルが要求されるものでした。

 

 

たとえば、dcpromo.exeというインストールモジュールをコマンドラインから起動し、システム管理の知識がなければ、決してわかりやすいとはいえない説明文を読みながら、作業を行う必要がありました。

 

さて今日、コンピュータシステムの利用については、複雑さがより増していることはいうまでもありません。実は管理者側についても、ADのような、公開から15年以上も経過したシステムについて、付随する事項まで詳細に習得することは、難しくなっています。

 

開発元もそれは当然認識しており、その分、インストールツールの操作は簡便になっています。もちろん、前提として、しっかりしたシステムの設計が必要なのは、いうまでもありません。

 

 

Windows Server 2016での導入

さて、現在最新のサーバーOSである、Windows Server 2016において、ADを導入する手順は非常にシンプルになりました。システムの設計がきちんと決まっていれば、おそらく入力に迷うことはないでしょう。

 

手続きとしては、まず、当該のサーバーに、ADドメインサービスの役割を追加します。コマンドラインからではなく、メニュー、サーバーマネージャーからの起動ですので、非常にわかりやすいといえるでしょう。

役割の追加が完了しましたら、当該のサーバーをドメインコントローラーに昇格させます。DNSの設定が必要になることもありますが、概ね問題なく完了するでしょう。

 

なお、現在サポートがメインストリームフェーズにあるサーバーOSはWindows Server 2012ですが、こちらでの手続きは2016と大差ありません。

 

 

導入に心がけたいこと

このように、シンプルな手続きで導入できるようになったADですが、導入されるシステム、それぞれに構成や規模が違うのは自明でしょう。存在するフォレストの数や、その結合度合いなどもそれぞれに違います。

 

 

繰り返しになりますが、慎重な基本構成の設計が求められます。その上で、構成は可能な限りシンプルにすべきでしょう。

 

これらの注意点は、システム設計の基本とも通じるところがあります。よりよいシングルサインオン環境の実現に、お役立てください。

(画像は「Pixabay」より)