・認証
本人確認のプロセス
・認可 承認
そのIDがサービスやアプリケーション位アクセス可能であるかを確認するプロセス
●AD DS(Azure Directory Domain Services)
従来のオンプレミスに対して、認証と認可を実現するため、AD DSをインストールしたドメインコントローラーを構築し、運用してきた。
AD DSでは、ドメインを1つの管理単位としてKerberosという仕組みを用いて認証と認可を行う。
AD DSのように、ユーザー名やパスワードなどの認証情報を管理するサービスは、一般的にディレクトリサービスという。
●Azure Active Directory
クラウドで認証と認可を行う。遺パン的なシステムと同じ様に、Microsoft Azureを利用するために認証認可を行う必要がある。クラウドベースのディレクトリサービス。
クラウドベースだが、ディレクトリサービスの1つであるため、認証認可のプロセスはAD DSと同じ。
オンプレミスと異なり、クラウドの場合の認証後のアクセス先は各SaaSアプリになる。SaaSアプリをAzure IDに登録すると、それらのSaaSアプリに隠せすする際の認証基盤としてAzure ADと利用できる。
●AD DSとAzureADの違い
・使用目的の範囲の違い
AD DS オンプレミス向け、Azure ADはクラウド向け。
・使用されるプロトコルの違い
AD DSは社内ネットワークで使用され、Kerberosというプロトコルで認証認可を行う。
Azure ADはインターネット環境で使用されるパブリッククラウドサービスなので、SAML、WS-Federationなどのプロトコルで認証認可をおこなう。
・組織構成の違い
AD DSはドメインコントローラーと呼ばれるサーバー¥を展開し、フォレスト・ドメインを構築し管理する。また、必要に応じ同じフォレスト内に子ドメインを作成することもできる。
Azure ADはクラウドサービスのため、サーバーの展開は不要。組織はテナント(ディレクトリ)という単位で管理され、Azureやmicrosoft 365をサインアップすうるとテナントが1つ作成される。
・オブジェクトの管理構造やポリシー管理機能の違い
AD DSはドメイン内にOU(組織単位)を構成してユーザーやグループなどのオブジェクトを階層構造を管理する。
Azure ADはユーザーやグループなどのオブジェクトはフラット構造で管理されるためOUじゃない。