[Az-500勉強メモ] ハイブリッド ID を実装する

学習資材

https://learn.microsoft.com/ja-jp/training/modules/hybrid-identity/

AD FSとは

クラウドサービスにアクセスする際の認証を省略してくれる機能のこと。
AD認証が通れば、そこで発行されたチケットをベースに、他のクラウドサービスへのチケットも自動的に発行してくれる・・・という機能である。

Azure AD Connetのパスワードハッシュの同期・パススルー認証・フェデレーション認証

• パススルー認証
  オンプレADとAADで同じパスワードで認証を行う。
  具体的には、AADでサインインを行うと、認証エージェントを介してオンプレAD側で認証を行う。
  
• パスワードハッシュの同期
  AAD側にパスワード情報を同期しており、AAD側で認証を行う。何か障害でオンプレADと通信が確立できない場合にも認証には影響
• フェデレーション認証
  Azure ADから、信頼された認証システム（オンプレADFS)に、認証プロセスを引き継ぐ。
  AADからのリダイレクトのイメージ。既存のフェデレーションプロバイダーで認証したい場合などが候補になる。ただし、独自にADFSサーバに受信ポートの穴あけは必要になってしまう。
  
  https://cloudsteady.jp/post/1260/

各認証方式の選択ツリー

補足としては、オンプレADのセキュリティポリシーをAADでも適用させたい場合が、「サインイン中、ユーザーレベルのActive/Active～」という分岐にあたる。

パスワードライトバック

Azure ADでパスワードの変更を行った場合、同期的にオンプレADDSにも情報を連携する機能である。
特に同期にあたり、オンプレ側での受信規則は不要である。また、オンプレ側のパスワードポリシーが適用される。