前書き
Azureの勉強をしていたのですが、どうもActive DirectoryとAzure ADというオンプレ用の認証認可サービスと、クラウド用の認証認可サービスがあるらしい。そういえばAWSの勉強でもActiveDirectoryがでてきてややこしかったのを思い出しました。Azureの勉強をするにあたって、まずここを理解しておいたほうがいいと思ったので、まとめることにしました。
Active Directory
オンプレミス環境で使用されるディレクトリサービス。
オンプレのイントラネットにおいて、ユーザーやコンピューターなどのリソースの認証・認可をするためのサービスだと思っていればだいたい何とかなるはず。
ディレクトリサービスなので、階層構造を利用して認証・認可の管理をしている。
「フォレスト」「ドメイン」「OU」などの階層構造にまつわるお話は今回は割愛する。
気になる人はこちらを参照されたい。(されたいって何?これどういう意味で使ってるんやろ。使ってみたかっただけです。)
主にKerberosプロトコルという方式を使用して認証をしている。Kerberos認証といういい方のほうが自然かも?
Kerberos認証だけでも記事をかけそうなので今度書きたい。
Azure AD
Azureで使うAD(Active Directory)である。
Azure ADと対比して言うなら先ほどのActive DirectoryはオンプレADと言ったところか。
Microsoftのクラウドサービス(Azure、Office 365、Dynamics CRM Onlineなど)と統合されている。
Microsoftのいろいろなクラウドサービスに対して認証・認可を行うサービスだと思っておけばよかろう。
オンプレADはイントラネットにおいての認証・認可サービスだったので、インターネットを通じて利用することがあるクラウドサービスにそのまま移植することができなかった。そのような背景をもとにして、新たに開発された認証・認可サービスなのであろう。
Azure ADは、テナントという単位で管理されている。ディレクトリとかなり近い概念みたいだが、厳密には違うらしい。しかも、テナントとは別でディレクトリも使用するらしい。ディレクトリとテナントは一対一で紐づいていてテナントにアクセスするとディレクトリに存在するリソースが扱え......云々。
これも深追いすれば記事書けそうだが、今回は概要が把握したいだけなので割愛。
認証方式は クラウド対応の認証プロトコルであるOpenID Connect、OAuth、SAMLなどが使用されている。
課金すればするほどリッチなサービスが使えるようになっている。Azure AD Freeは無料で使えるが、シングルサインオンなどの設定を部署や役職ごとに容易に行うためにはAzure AD Premium P1またはP2のライセンスが必要となる。
感想
概観はつかめました。
ただ、上記で記事にできそうって書いた箇所以外にも、LDAP、Restful API、(Azure ADにおける)サブスクリプションなど、聞いたことあるけどよくわかってない言葉がたくさん出てきました。
今後も記事を書くことで少しづつネットワークについて理解が深められたら、と思います。
(深められたら、のあとって「いいな」が省略されてるのかな?これ主節が省略されて従属節が残っている?変な構造)