Azure ADを用いてシングルサインオンで接続する
はじめに
現代社会において、AzureやAWSなど様々なクラウドサービスが提供されるようになりました。しかし一つのクラウドサービスで作業を進めることは珍しく、上記のクラウドサービスに限らず複数のサービスを利用しているユーザーが一般的です。
しかし複数のサービスを利用しているとそれぞれの接続するアカウント情報を管理しなくてはならず、しかし全て共通のパスワードやIDを使用するとセキュリティ面で不安が残ります。
そこで今回はMicrosoft社が提供しているクラウドサービス「Azure AD(Azure Active Directory)」を利用して、複数の対応サービスを一括で管理することの出来るシングルサインオン環境を作成し、使用している様々なアカウント接続の煩わしさをスッキリ整理しませんか。
シングルサインオン(SSO:Single Sign On)とは
先程も述べましたが複数のサービスを利用した場合、それぞれへ接続するたびにアカウント情報が必要となります。一般的には「アカウント名かID」と「パスワード」でしょうか。
これら2つの情報を各サービスごとに管理する必要がありますが、1つ2つならまだしもそれ以上となると非常に煩雑です。だからといって全てのサービスアカウントを共通のIDとパスワードに設定した場合、万が一いずれかのサービスからパスワードが流出した場合、被害が拡大するリスクがあります。
そこでシングルサインオンを利用して接続を行うと、[1度の認証接続で複数のネットワークサービスやクラウドサービスにアクセスが可能]になります。
導入メリット
①アカウントを管理する負担が軽減する:クラウドサービスなどは特に非常に多いユーザーの利用が想定されます。そこに個人個人が別々のアカウント情報を設定した場合、企業の情報管理者が管理する手間は計り知れません。シングルサインオンを導入することで、ユーザー個人個人が管理することが可能になるため、これらの負担が軽減されます。
②パスワードなど情報漏洩のリスクが軽減される:繰り返しになりますが、各サービスのアカウント情報を覚える必要があるのはそのユーザー自身のみになります。そのためどうしても覚えやすい内容であったり、アカウント情報を共用してしまい、セキュリティリスクが高まります。そこでシングルサインオンを利用した場合、覚えるべきアカウント情報は1つで済むため、多少難しいパスワードを設定しても管理がしやすくなります。
導入デメリット
①セキュリティリスク:当然ですがシングルサインオンを導入し、管理すべきパスワードは1つになっても、そのアカウント情報が漏洩した場合、シングルサインオンで利用しているサービス全てが不正接続されてしまうリスクをはらんでいます。
②システムが停止すると関連サービスへ接続できなくなる:シングルサインオンは従来の各サービスのログインシステムで認証情報が管理されています。そのためシングルサインオンの管理システムが停止した場合、シングルサインオンを利用している関連サービスへの接続が行えなくなるリスクがあります。
③利用コストが生じる:シングルサインオンは利用する方法として2種類存在し、自社に専用サーバー・ソフトウェアを準備する「オンプレスミス」型とあらかじめ用意されている「クラウドサービス」型が存在します。しかしどちらを利用する場合でも利用するための費用が生じてしまいます。
Azure ADを利用してパスワードシングルサインオンを実現する
ではようやく本題のAzure ADを用いたシングルサインオン接続環境を作成していきます。シングルサインオンの環境構築は様々ありますが、今回ご説明するのは[パスワードシングルサインオン]という方法で行います。使用する環境としては[Win10][Azure AD][Twitter]を使用し、前提条件としてMicrosoft Azureへのアカウント作成を行っており、Azure portalが起動できる状態で説明していきます。
手順
1.まずAzure portalの左側にある[+新規]→[セキュリティ+ID]→[Active Directory]を選択し、ポータル画面がに移動します。
2.「ディレクトリの追加」画面が表示されますので、各項目に任意で情報を入力を行い、「✓」ボタンを押して次へ進みます。
3.[ディレクトリの作成]が完了したら「ディレクトリを使用する準備ができました。」という表示の上部にある[ユーザー]→画面下部に表示されている[ユーザーへの追加]を選択します。
4.「このユーザーに関する情報の入力」という画面が表示されますので、ここでも任意で情報を入力して次へ進みます。(※ユーザー名は接続時に使用するユーザーIDになります)(
5.「ユーザープロファイル」画面にも任意の情報を入力して次へ進みます。(※[ユーザー:一般ユーザー][全体管理者:Azure ADに関わる全ての管理作業が可能][課金管理者:契約しているサブスクリプション・サポートチケットの管理、サービス正常性の監視を行います][サービス管理者:サービス要求の管理とサービス正常性の監視を行います][ユーザー管理者:ユーザーパスワードのリセット、サービス正常性の監視、ユーザーアカウント・グループ・サービスの要求の管理を行います][パスワード管理者:パスワードリセット、サービス要求の管理、サービス正常性の監視を行います。ただしリセット対象はユーザーと他のパスワード管理者のパスワードのみです])
6.次に一時パスワードを作成し、必ず控えておいてください。
7.インターネットブラウザを起動し(今回はMicrosoft Edge)、[https://myapps.microsoft.com]に接続してサインインを行います。このとき、アプリケーションは未登録なので「利用できるアプリケーションは~・・・」と表示されていると思います。
8.次にアプリケーションを追加します。先程のディレクトリ画面に移動し、今度は「ディレクトリを使用する準備ができました。」上の[アプリケーション]を選択し、画面下部の[追加]をクリックします。
9.自身にあった方を選択します。(今回は[ギャラリーからアプリケーションを追加します]を選択)
するとAzure ADに認定されているクラウドサービスの一覧が表示されます。今回はTwitterを利用して確認を行います。
10.[Twitter]を選択し、画面右側にある「表示名」を入力して右下の「✓」で次へ進みます。
11.「アプリケーションが追加されました!」という画面が表示されたら[シングルサインオンの構成]を選択。
12.「ユーザーのTwitterへのアクセスを設定してください」と表示されたら[パスワードシングルサインオン]を選択、再度アプリケーションが追加されました画面に戻ったら[アカウントの割り当て]を選択します。
13.Twitterへ接続するユーザーアカウントを選択して画面下部にある[]割り当てを選択します。
14.[ユーザーの代わりにTwitter資格情報を入力する。]チェックを入れ、それぞれの項目にTwitterアカウントの情報を入力します。
15.その後アクセスの割り当てが確認出来たら、再度先程の[https://myapps.microsoft.com]にアクセスし、Twitterが登録されていることを確認します。
16.そのまま画面に表示されている[今すぐインストール]ボタンをクリックし、Twitterへシングルサインオンを行うためのブラウザアドオンのインストールを行います。
以上でTwitterサービスへのシングルサインオン接続は可能になりました。実際にTwitterへ接続すると自動的にサインインが行われます。
さいごに
いかがでしょうか。今回はTwitterのログインを用いてAzure ADを利用したシングルサインオンを簡単にご紹介いたしました。Twitterだけでなく、Azure ADに認証されているサービスも同様に登録を行えば、同様にシングルサインオンが利用できます。ぜひシングルサインオンを活用して煩雑で手間がかかるアカウント管理作業から開放されましょう。ここまで読んで頂きありがとうございました。
