効率的なアクセス権管理が可能に!Active Directory(AD)
はい、こんにちは。松井真也です。『ゼロトラスト用語辞典シリーズ』と題してブログを更新しております
今回のテーマは、「アクティブディレクトリ(AD)を使ったアクセス管理と制御」です。過去の記事でも少し登場したADですが、自社内でシングルサインオンを可能にする重要なサービスでしたね。しかし、その仕組みについては、きちんとご紹介したことがありませんでした。ゼロトラスト時代でこそ活躍する技術ですから、一度さらっておくことにしましょう!
アクティブディレクトリとは?
アクティブディレクトリ(AD)は、Windows Serverにより提供されるディレクトリサービスです。
おっとディレクトリサービス自体がよく分からないですよね。ディレクトリは、まあカタログのような一覧だと思いましょう。何がカタログの対象かというと、ネットワーク資源であったり、ユーザ情報であったりします。例えば、企業内のPC、プリンター、ユーザーアカウントなどがこれに該当します。これを一元管理するサービスが、「ディレクトリサービス」です。
ですから、ADも、ネットワーク上の様々な資源やユーザー情報を一元管理することが可能です。企業がIT資源やユーザを効率的に運用する上でとても重要な役割を果たしています!
セキュリティグループを利用したアクセス権の管理
では、「どのユーザに、どのネットワーク資源へアクセスさせるか」を設定する流れを見てみましょう!
まずは、管理者が、「セキュリティグループ」というものを作り、これを単位としてアクセス権を設定します。ユーザ単位じゃないんですね。
「セキュリティグループ」を使用することで、特定のユーザーグループにのみ特定のリソースへアクセス権を与えることができわけです。これにより、不正アクセスや情報漏洩のリスクを軽減します。
イメージが湧きませんか?例えば、財務部門のスタッフには財務システムへのアクセスを許可し、他の部門はアクセスできないように設定することができます。
ドメインコントローラの役割
では、そのアクセス権限の設定はどこでやりましょうか?「ドメインコントローラ」というものです。
ドメインコントローラはADの中核を成す構成要素です。ネットワーク内からの認証要求を処理する役割を担います。ユーザーがどのリソースにアクセスできるかを管理し、セキュリティを保ちながら効率的なネットワーク運用を助けてくれます。
「チケット」を使った認証プロセス
では、ユーザがドメインコントローラに認証してもらい、リソースへのアクセスを許可してもらう流れを見てみますか。財務課の人が財務システムにアクセスすると仮定しましょう。
まず最初に、ユーザーがリソースにアクセスする際には、ドメインコントローラに認証してもらいます。
すると、「チケット」と呼ばれる「認証トークン」を発行して(払い出しして)もらえます。そのチケットは、そのユーザが所属している「セキュリティグループ」に対応したものです。
ユーザは、そのチケットを「財務システム」に提示して「財務システム」にアクセスできます。このチケットを「人事システム」や「労務システム」に提示してもアクセスさせてもらえません。
サーバへのアクセス証を「チケット」と呼ぶあたり、イメージが湧きやすいですね!
はい、本日はここまで!今回は、複雑なネットワーク環境においても、セキュリティと効率性を同時に実現させてくれる「アクティブディレクトリ」をご紹介しました!
この記事が気に入ったらサポートをしてみませんか?