😽

[Az-500勉強メモ] ハイブリッド ID を実装する

2023/01/23に公開約1,100字

学習資材

https://learn.microsoft.com/ja-jp/training/modules/hybrid-identity/

AD FSとは

クラウドサービスにアクセスする際の認証を省略してくれる機能のこと。
AD認証が通れば、そこで発行されたチケットをベースに、他のクラウドサービスへのチケットも自動的に発行してくれる・・・という機能である。

Azure AD Connetのパスワードハッシュの同期・パススルー認証・フェデレーション認証

  • パススルー認証
    オンプレADとAADで同じパスワードで認証を行う。
    具体的には、AADでサインインを行うと、認証エージェントを介してオンプレAD側で認証を行う。
  • パスワードハッシュの同期
    AAD側にパスワード情報を同期しており、AAD側で認証を行う。何か障害でオンプレADと通信が確立できない場合にも認証には影響
  • フェデレーション認証
    Azure ADから、信頼された認証システム(オンプレADFS)に、認証プロセスを引き継ぐ。
    AADからのリダイレクトのイメージ。既存のフェデレーションプロバイダーで認証したい場合などが候補になる。ただし、独自にADFSサーバに受信ポートの穴あけは必要になってしまう。

    https://cloudsteady.jp/post/1260/

各認証方式の選択ツリー


補足としては、オンプレADのセキュリティポリシーをAADでも適用させたい場合が、「サインイン中、ユーザーレベルのActive/Active~」という分岐にあたる。

パスワードライトバック

Azure ADでパスワードの変更を行った場合、同期的にオンプレADDSにも情報を連携する機能である。
特に同期にあたり、オンプレ側での受信規則は不要である。また、オンプレ側のパスワードポリシーが適用される。

Discussion

ログインするとコメントできます