クラウド特捜部

Windows Azureベースのサービス提供を加速するMicrosoft~Build 2013での発表を振り返る (ID管理を改善するWindows Azure Active Directory)

ID管理を改善するWindows Azure Active Directory

 多くの企業ユーザーが首を長くして待っていたのが、Windows Azure Active Directoryだろう。

 このサービスにより、オンプレミスにあるActive Directory(AD)とWindows AzureのWindows Azure Active Directoryと接続し、社内で運用しているADベースのID管理を、そのままクラウドでも利用できるようになった。

 特に、SaaSのOffice 365やWindows Intuneなどのサービスにとっては、社内ですでに構築していたID管理システムをそのままクラウドに拡張できるため、大きなメリットが得られる。

 また、Microsoftアカウント、Google、Yahoo!、Facebookのような一般的なWeb IDプロバイダを使用して、シームレスにシングルサインオン(SSO)を行うこともできるようになった。

 このほか、2012年にMicrosoftが買収したPhoneFactorのテクノロジーを利用する、多要素認証テクノロジーが採用されている。この認証システムでは、IDとパスワードに加えて、登録されている携帯電話に電話をして認証コードを音声案内で送り(SMSでもOK)、そのコードをクラウド上のサービスに入力してもらう仕組みを提供することで、個人認証のセキュリティレベルを向上させている。

Windows Azure Active Directoryを使えば、オンプレミスのActive Directoryと連携して、クラウド上にID認証システムが構築できる
Windows Azure Active Directoryには、ADの情報がそのまま入っている

 一方、今回新たにBuild 2013で発表されたプレビュー機能としては、SaaS Management機能がある。Windows Azure Active Directoryのユーザー情報にユーザー名やパスワード、個人プロファイルだけでなく、その個人が利用できるSaaSサービスを登録しておくことができる。

 これを使えってADのユーザー認証を行えば、Box(クラウドストレージサービス)、salesforce.com、AWSなどのさまざまなクラウドサービスへアクセスする際に、いちいちIDやパスワードを入力しなくても利用できるようになる。

 管理者側も、ADでユーザーに付与しているSaaSサービスの利用権限を追加したり、削除したりすることで、ほかのSaaSサービス利用を管理することができる。部署が変わったり、退職したりしても、SaaSのIDやパスワードを変更・削除する手間が省けるのだ。

Windows Azure Active Directoryの新機能としてSaaS Management機能が用意された
SaaS Management機能を使えば、ほかのSaaSのIDとしてWindows Azure Active Directoryに登録されているユーザー名が利用できる
利用できるSaaSとして、AWSとも連携している
例えば、クラウドストレージのBoxのIDとして、ADに登録されているユーザー名が入っている。管理者は、退社したユーザーをADから外せば、連携しているSaaSのアカウントも削除される
社内のユーザーには、利用できるSaaSがタイルとして表示される

(山本 雅史)