LoginSignup
1
1

More than 1 year has passed since last update.

@hiroakimurata(Hiroaki Murata)

ADFS からアプリケーション認証移行を設計する前に知っておきたい事

Last updated at Posted at 2021-11-15

はじめに

本記事では、ADFS に接続されている既存アプリケーションの認証の連携先を Azure AD へ変更する際に知っておきたいことをお伝えします。
移行設計のポイントは、大きく 2 点あります。

  • ADFS で実装されているアクセス制御についての確認
  • アプリケーションの数に応じた無理のない移行期間の見積もり

image.png

アプリケーションに対してどのようなアクセス制御が実装されているかを知ることが第一歩

移行設計を円滑に進めるための 1 つ目のポイントとして、既存のアプリケーションのアクセス制御を技術的に把握しておくことが挙げられます。
事前に活用できていると便利な 2 つのレポート機能を紹介します。

image.png

  • ADFS アプリケーションアクティビティ レポート
    Azure AD Premium Plan1 以上のライセンスをお持ちの方は、Azure AD の機能である ADFS アプリケーションアクティビティ レポートを活用できます。Azure のポータルへアクセスするだけで、自動で集計されたアプリごとのアクセス制御の実装状況が確認できます。
    ただし要件として、Azure AD Connect Health という機能の有効化と ADFS および WAP サーバーへのエージェント導入が必要です。また、クラウドサービスに対するHTTPSのアウトバウンド通信も必要となります。

  • ADFS アプリケーション移行支援のためのエクセル形式レポート
    Azure AD Premium のライセンスをお持ちでない方、Azure AD の機能要件(上記)を満たすことが難しい環境である場合は、手動で集計するエクセル形式のレポートツールをご利用いただけます。AD FS アプリケーションアクティビティレポートと同程度の情報が確認可能です。ただし、最新状況を確認するためには、毎回手動で集計を行う必要があります。
    GitHub上で無償公開されているスクリプトツールですのでどなたでもご利用いただけます。

2 つのレポート機能のどちらかを利用すればよく、環境に合わせて使い分けることが可能です。
次に、レポートで得られた情報をどのように活用するかについて説明します。
レポートの確認点として、ADFS アプリケーションの数がどれ位あるのか、およびアプリごとの移行ステータス(可否)が重要です。
移行ステータスについては、チェック項目に対して Pass か Warning の 2 種類のマークが表示されます。
この情報を参考に計画を調整すると良いでしょう。

image.png

ADFS アプリケーション移行計画事例から無理のないスケジュールを見積もる

移行設計を円滑に進めるための 2 つ目のポイントとして、アプリケーションの数に応じた無理のない移行期間の見積もりです。
ここで、参考情報として、実際の案件から ADFS アプリケーション移行計画のサンプルを提示します。

企業名 (匿名) アプリケーション数 移行期間 作業リソース 備考
A 社 10 個 4 週間 自社のみ 1 つのアプリ移行に数週間を消費
B 社 80 個 6 ヶ月 自社のみ アプリの種類ごとに段階的な移行
C 社 400 個 1 年以上 自社およびコンサルティングサービス利用 すべてのアプリは移行しない
オンプレ MFA はユーザー移行を伴う

A 社は 10 個の ADFS アプリケーションを 1 か月で Azure AD へ移行させ、B 社は 80 個のアプリケーションを半年間で移行させました。アプリケーションによって掛ける時間が異なるため、段階的な移行を取っていたようです。
多くのお客様が A 社か B 社に近い状況であると思います。400 個のアプリケーションの移行にチャレンジした C 社からは以下のことが分かります。

コンサルティングサービスのアドバイスを得て自社の作業負荷を軽減した
すべてのアプリケーションを移行しないという判断を行った
アプリケーションだけでなくユーザー移行が伴う場合は時間を要した

まとめ

本記事では、ADFS 移行のヒントとして、アプリケーションの移行設計を進めるためのレポートツール、計画サンプルを紹介させていただきました。
次回の記事では、「サンプルアプリケーションを使って ADFS から AAD への認証移行ステップを確認する」について掲載する予定です。

どれか 1 つでも活用していただける情報があれば幸いです。
*本稿は、個人の見解に基づいた内容であり、所属する会社の公式見解ではありません。また、いかなる保証を与えるものでもありません。

1
1
1

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1