このブログはこちらの英語ブログの機械翻訳です。
Active Directory Federation Services(ADFS)は、Microsoftが作成したシングルサインオン(SSO)ソリューションです。Windows Serverオペレーティングシステムのコンポーネントとして、Active Directory(AD)を介したIntegrated Windows Authentication(IWA)を使用できないアプリケーションへの認証済みアクセスをユーザーに提供します。
柔軟性を提供するように開発されたADFSにより、組織は従業員のアカウントを制御しながら、ユーザーエクスペリエンスを簡素化できます。従業員は、SSOを介して複数のアプリケーションにアクセスするために、単一の認証情報を覚えておけばよいのです。
ADFS の仕組み
ADFS は、Active Directory と対象アプリケーションの間でホストされるプロキシサービスを経由して認証を管理します。 認証連携(Federated Trust)を利用して ADFS と対象アプリケーションをリンクし、ユーザーにアクセス許可する仕組みとなっています。 これにより、ユーザーはシングルサインオンを通じて連携されたアプリケーションにログオンできます。アプリケーションで直接アイデンティティを認証する必要はありません。
認証プロセスは通常、次の 4 つのステップで行われます。
- ユーザーが ADFS サービスの URL に移動します。
- ADFS サービスが企業の Active Directory サービスを介してユーザーを認証します。
- 認証が完了したら、ADFS サービスはユーザーに認証クレームを提供します。
- ユーザーのブラウザがこのクレームを対象アプリケーションに転送し、作成された認証連携サービスに基づいてアクセスが許可または拒否されます。
多くの企業で ADFS が選ばれる理由
ADFS は、オンライン接続されるアプリケーションやサービスが増えたことで AD に生じた認証の問題を解決する必要性から誕生しました。 Active Directory と統合 Windows 認証では昨今の環境において、Active Directory に統合されたアプリケーションに外部からアクセスしようとするユーザーを認証できないという制約があります。 現状の業務環境では Active Directory 組織が所有・管理していないアプリケーションにユーザーがアクセスする必要が多いため、このことが問題となっています。
ADFS を使えば、サードパーティー認証にまつわるこうした問題を解決かつ簡略化できる一方で、一定のリスクやデメリットも生じます。
ADFS を利用することで、Active Directory に統合されたアプリケーションに遠隔からアクセスする必要のあるユーザーに関する問題が解消されます。また、ウェブインターフェイスから企業標準の Active Directory 認識情報を使って認証できる柔軟なソリューションが提供されることになります。 これにより、ある企業のユーザーが Active Directory ドメイン範囲を越えて、別の企業のアプリケーションにアクセスできるようになります。 例えば、パートナー企業や最新のクラウドサービスで稼働するアプリケーションが、拡張された IT 環境の一部として多くの企業に利用されています。
90%以上の組織がActive Directoryを使用しています。つまり、多くの組織がADFSも使用しています。
ADFS 認証を使用するリスクとデメリット
ADFS には確かに欠点もあり、理想的な認証ソリューションとは言い切れません。 こうしたデメリットには、目に見えないインフラストラクチャーとメンテナンスのコスト、そしてセキュリティリスクが挙げられます。
ADFS 自体は Windows Server の無料機能ではありますが、これを利用するには Windows Server のライセンス、そして ADFS サービスをホストするサーバーが必要となるため、企業にとってはコストがかかります。 特に、ライセンスモデルがコアベースに移行した Windows Server 2016 以降、サーバーライセンスのコストは増加しています。
目に見えないメンテナンスコスト
ADFS 利用で直接発生するコストに加え、ADFS サービスの管理とメンテナンスにかかる運用コストが継続的に発生することにも考慮が必要です。 Active Directory ドメイン間の信頼関係を維持する従業員には高度な技術スキルが求められ、またADFS サーバーには定期的にパッチの適用、更新、バックアップを行う必要があります。 さらに、ADFS は重要なサービスであるため、高い可用性が要求されます。 構成の仕方によっては、ADFS にはインフラストラクチャーの拡充に伴う直接的なコスト、複雑さが増すことに伴う間接的なコストの両面で、予想以上のコストがかかります。
全般的な複雑さ
ADFS ソリューションの利用、構成、メンテナンスは簡単な作業ではありません。 また、ADFS サービスにアプリケーションを追加するたびに発生するプロセスは、時間がかかる上技術的にも複雑で IT の俊敏性を損なうものです。
セキュリティリスク
ADFS をそのまま標準インストールしただけでは安全性が高いとは言えません。適切に保護するには、IT が実行する必要のある複数の手順があります。さらに、ADFS は Windows Server 上で実行されるため、ソリューションがリスクにさらされないように、これも 強化して保護する必要があります。
ADFS とクラウドアイデンティティ
ADFS には確かにメリットがあり、アイデンティティ連携ソリューションを必要とする多くの企業に使用されています。 一方で、ADFS には見過ごすことのできない明らかなデメリットもあります。
サードパーティのクラウドベースのアイデンティティサービスは、ADFS の機能と一致し、場合によってはそれを上回る機能を備えている可能性があります。クラウドアイデンティティソリューションは、運用に必要なオーバーヘッドが少ないため、費用対効果が高くなります。それに加えて、組み込みの高可用性と、数百ものアプリケーションとのシームレスな統合が実現されています。Okta は、ユーザーに安全なクラウドベースのアイデンティティソリューションを提供しています。このソリューションは、認証の課題を解決するだけでなく、セキュリティを常に最優先に保ちます。
する方法と、企業に適した認証ソリューションについて詳しくご覧ください。
