LoginSignup
5
3

More than 1 year has passed since last update.

@snovvy()

Active Directory と AWS Directory Service を理解する

Last updated at Posted at 2022-06-19

AWSについてきちんと勉強し始めて半年ちょっと。
いろいろとぼんやりしながらSCSの勉強をしてしまっているので、基礎から整理することにしました。

Active Directory(AD) とは

Microsoftが提供している、Windows server OS向けの機能。
会社や組織が保有している人材や情報などの各種リソースを管理するためのディレクトリ。

主な機能

ユーザー認証とアクセス制御

人、モノ、データなどの情報を「ドメイン」で管理している。
「ドメインコントローラー」はユーザーIDとPWを使用してユーザー認証を行う他、データの閲覧・編集権限等の編集が可能。また、データへのアクセス範囲、ユーザーの所属部署等の情報、使用しているデバイス等の情報を管理している。

ドメインツリーとフォレスト

ドメインツリー

例として、本来アクセスできない親ドメインに、子ドメインからアクセスできるようにポリシーが設定された状態のこと。親子ドメイン間に信頼関係がある。

フォレスト

親子とは全く別のドメインと信頼関係を結び、アクセスが可能になった状態。

シングルサインオン(SSO)

ユーザーが所属するドメインにユーザーID, PWでログインした場合、ドメインツリーやフォレスト内にある別ドメインのリソースに認証不要でアクセスできること。たとえば、所属ドメインのドメインコントローラーから認証を受けた場合、ドメインツリー内の別ドメインが管理しているサーバーやプリンター等に認証なしでアクセスが可能となる。

フェデレーション

外部のクラウドサービスやWebサービスへSSOができる関係のこと。
Active Directoryは、Microsoft Azure や Microsoft 365といった外部クラウドサービスとも1つのID・パスワードで接続できる。

AWS Directory Serviceとは

Microsoft ADを、AWSの他のサービスと併用するために使用するサービス。

サービス名 概要
AWS Managed Microsoft AD AWS上にマネージド型のMicrosoft ADを構築するサービス。
AWS上にフルスペック型のMicrosoft ADを構築したい場合や、Linuxアプリケーション用にLDAPサポートが必要な場合に使用。
EC2インスタンスをAWS Managed Microsoft ADに結合すると、ユーザーはオンプレのワークロードへアクセスする際と同様のSSOで、AWSクラウドのWindowsワークロードにアクセスできる
Simple AD Linux-Samba ADで構築されたマネージド型Directory Service。
シンプルにユーザーID、PWのみで管理する場合に使用。
小規模なユーザー管理を目的として、既存のシステムと連携する必要がない場合に便利
AD Connector 既存のオンプレADに対してリダイレクトするADのプロキシサービス。
既存ADを互換性のある AWSサービスと併用する場合に最適。
AD Connectorを使用して、Amazon EC2インスタンスを既存のADドメインに結合することも可能

オンプレの既存ADとの接続パターン

Microsoft AD を利用

双方向に信頼関係を構築するほか、同一リージョンで稼働するためレイテンシーの考慮がほぼ不要。AWS側で完結して設計・拡張が可能。

AD Connector を利用

認証の都度既存ADへ問い合わせを行うため、レイテンシーの問題がある。また、既存ADのスペックにも左右される。

利用方法の例

AWSユーザーを管理

認証機能としてADを利用し、認証済みのユーザーに適したIAMロールを割り当てる。MFAの利用も可能

AWS CognitoのSAML(Security Assertion Markup Language)として利用

Cognitoユーザープールを設定し、使用するSAMLとして「Microsoft AD Federation Service」を選択する
手順:Amazon Cognito ユーザープールを使用してサードパーティの SAML ID プロバイダーを設定する方法を教えてください。

AWS Cognitoとの使い分け

より大きな規模のユーザー管理をおこなったり、ソーシャルID認証にも対応しているスケーラブルなディレクトリが必要な場合は、Cognitoを使用する認証がおすすめ。

参考

5
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
5
3