Active Directory（アクティブディレクトリ）とは

最近、Windows Serverを検証環境として構築したりしているのでその流れでアクティブディレクトリについてまとめてみます。

意外と調べてみるとこんな機能があるんだという発見がありますね。

アクティブディレクトリとは

アクティブディレクトリとはWindowsパソコンの機能やユーザー情報を管理するために、Windows Serverに設けられた機能のことで、ディレクトリサービスの一種です。

ディレクトリサービスとは、ネットワーク上の資源とその所在や属性、設定などの情報を収集・記録し、検索できるようにしたシステムです。

アクティブディレクトリで登場する用語

・アクティブディレクトリ：ディレクトリサービスを提供するためのブランド名

・ドメイン：アクティブディレクトリによって許可されたユーザーがアクセスできる範囲

・ドメインコントローラー：ドメイン内でユーザーの認証や管理をするソフトウェア（サーバー）

アクティブディレクトリの機能

①ID・パスワード管理

WindowsサーバーはWindowsクライアントのPCのユーザーIDとパスワード情報を管理できますが、Windowsサーバーが複数ある場合はそれぞれのサーバーにユーザーIDとパスワード情報を設定する必要があります。

アクティブディレクトリを使用すると、複数のサーバーで管理していたユーザー情報を一元的に管理できるようになります。

②アクセス権限の設定・管理

アクティブディレクトリで一度認証を済ませば、ドメイン内にある情報やサーバーにアクセスできるようになります。

③ソフトウェアの設定・管理

アクティブディレクトリでは業務で必要なソフトウェアをリモートで自動インストールことや Windows Updateによる自動更新を行うことができます。

④メディア利用の設定・管理

アクティブディレクトリとWindowsのグループポリシーの機能を組み合わせることでUSBメモリに関する下記3つの権限を設定できます。

・読み取りアクセス権の拒否

・実行アクセス権の拒否

・書き込みアクセスの拒否

⑤プリンターなど接続機器の設定・管理

サーバーにプリンタードライバーをインストールしておけば、クライアントはプリンターを使う際にアクティブディレクトリからプリンタードライバーを配布されます。

⑥操作ログの取得

アクティブディレクトリに関連したサーバーに対するログを取得できます。

ADFSとは

ADSFとはアクティブディレクトリフェデレーションサービスの略で、アクティブディレクトリにサインインした後に生成されるチケットを基にクラウド利用可能なチケットを生成するサービスです。

これによりアクティブディレクトリにログインするだけでクラウドサービスにログインすることができます。

[Kerberos認証とは]

Kerberosとは、ネットワーク上でユーザーの認証を行う方式の一つです。

Kerberosは、クライアント／サーバ型の構成をとる。「チケット」と呼ばれるものを用いて、パスワードを送受信することなく安全に認証を行えます。

[SAML認証とは]

SAMLを利用することで企業の持つアイデンティティ情報、例えば、Active Directoryなどを利用して、複数のクラウドサービスへのシングルサインオンを実現します。

つまり、ユーザーは認証サーバーに1回ログインするだけで、SAML対応しているクラウドサービスやWebアプリケーションを利用することができるようになるのです。

SAMLでは認証情報を提供する側をIdentity Provider（IdP）と呼び、認証情報を利用する側をService Provider （SP）と呼びます。

ADFS側で発行されたSAMLトークンをもとに外部サービスにアクセスするということもできるようです。

Active Directoryを通して知る認証・認可(承認)

参考文献

Active Directory(アクティブディレクトリ)とは？機能やメリットデメリットを徹底解説

ディレクトリサービスとは - IT用語辞典

ADFSとは？フェデレーションとは？を知る方法ADFSとは？フェデレーションとは？を知る方法

Kerberos（ケルベロス）認証とは

SAMLとは ｜クラウド型シングルサインオン・アクセスコントロール（IDaaS） OneLogin - サイバネット