ロード・オブ・ザ・ホワイトハッカー

ホワイトハッカーはじめました

ActiveDirectoryとAzure AD連携

ゼロトラストの初手

ゼロトラストを実現しようとすると、認証管理=Identity and Access Management(IAM)がインターネット上に必要。

オンプレ環境にあるActiveDirectoryと連携するソリューションは多いが、一番、親和性が高そうで、コスパの良いAzure ADが最有力候補になる。

 

Azure AD Connect

qiita.com

こんな記事もあるように、ActiveDirectoryとAzure ADとの連携自体はすんなりできる。

ただ、いろいろと考慮事項は多い。

 

サインオン方式の選択が悩む。

f:id:chikuwamaruX:20211016135649p:plain

 

こちらの資料の助けを借りて、明確に認証方式が選択できました。

www.slideshare.net

クラウドにパスワードを保管することへの不安についても、しっかりと答えてくれています。

既にAzureADにアカウントが存在するケース

AzureADでは、MS365を使うため、アカウントがメールアドレスになっていた。

一方で、ActiveDirectoryでは、社員番号がアカウントとして割り振られている。この場合、ActiveDirectoryのパスワードをAzure ADに同期できるのか?

結論としては、出来た。

 

こちらを参考にさせていただきました。

jpazureid.github.io

 

電子メールをユーザープリンシパル名と一致させておけばよい。

f:id:chikuwamaruX:20211016140807j:plain

 

タダより怖いものはない?

現状、Azure ADは、無料の範囲で使用しているが、他のクラウドサービスに対してSAML認証を提供できるので、シングルサインオンが実現できてしまう。

PCへのログインも、AzureADで認証とかIntuneという機能を使うとPCの管理もクラウド上で出来てしまう。当然、追加費用が発生します。

 

いろんなものがクラウドに出ていくと、そのセキュリティを管理するサービスもクラウド上で提供されていて、クラウドセキュリティポスチャーマネジメント(CSPM)、と呼ばれる。

 

クラウドでの設定が適切か、システム的にチェックして、意図しない情報の公開などを防止できたりするようです。確かに、日々進化していくクラウドサービスで、設定項目も増えていくなかで、ミスの発見は困難なので必要になる。

 

セキュリティの費用対効果、というものが益々、難しくなってきます。