社内外のリソースへガバナンスを効かせるハイブリッドIdP
すでにお気づきかと思われるが、こうしたEMSによる機能拡張は、社内ネットワークから外部環境まで管理の範囲を広げることが前提となる。つまり、オンプレミスのWindows Server Active Directoryだけでは、基盤として不十分というわけだ。そこで登場したのが、クラウドサービスのためのIdPである「Microsoft Azure Active Directory Premium」である。
「オンプレミスのActive DirectoryとAzure上のActive Directoryという、2つのIdPを別々に運用する必要があると、セキュリティポリシーは分断されてしまいますし、ガバナンスを効かせるのにも苦労します。そこでマイクロソフトは、これらを統合的に運用管理する仕組みを提供します」(安納氏)
さまざまなパブリッククラウドサービスやモバイルを活用した働き方が登場する中で、企業の大きな課題の1つが、社内のガバナンスをどのように外部まで利かせるかという点にある。そもそもこれが難しいからこそ、便利なクラウドサービスやモバイルデバイスの利用を制限、禁止するという事態になっているのだ。
そこでマイクロソフトは、オンプレミスのWindows Server Active Directoryとクラウド上のAzure Active Directoryを論理的に結合し、1つのディレクトリサービスとして統合的にガバナンスを効かせられる方法を設けた。これが「ハイブリッドIdP」である。
2つのActive Directoryを結合させて1つのディレクトリ化する(ハイブリッドIdP)
※クリックすると拡大画像が見られます
もちろん、これら2つのActive Directoryは、それぞれ認証基盤として十分な機能を備えている。しかし、完全なモビリティ環境を実現したい場合には、EMSに含まれる管理機能と内外の認証基盤の連携が必要である。2つのActive DirectoryとEMSを組み合わせたソリューションであれば、単一のマイクロソフトアーキテクチャとして一元管理できるため、運用負担も軽減される。
「私たちが提供したいのは、PCの持ち出しや外部からのデータアクセスなど、これまでセキュリティを懸念して禁止していたことを、禁止させずに済む環境です。Active DirectoryとEMSによって技術的に安全性を担保することで、『あれはダメ、これはダメ』と言わずに済むのです。そのほうが管理者は楽ですから、結果的に運用コストも削減できますし利用者のストレスを省き生産性も高めることができる。」(安納氏)
エンジニアの成長がモビリティが完成するカギとなる
さらに安納氏は、「エンジニアに成長していただきたい」と願望を述べる。
「こうしたハイブリッドな認証基盤は、具体的には、『WS-Federation』や『SAML』『OpenID Connect』といった最新の技術が使われています。マイクロソフト製品の運用には長けていても、中身まで理解しているエンジニアは少数です。マイクロソフト、この分野の技術訴求への取り組みが不十分であったと反省しています」(安納氏)
上述したように、Active Directoryはさまざまな認証プロトコルに対応しており、Windows以外のシステムも管理することが可能であった。しかしそれを知らない管理者やエンジニアも少なくないというのだ。
クラウドコンピューティングは、さまざまな他のシステム/サービスとの連携が必須の世界である。この連携には、安納氏が述べたような技術のほかにも、さまざまなプロトコルが用いられる。これらを理解しておかなければ、そもそも連携できるのか、使えるのかどうかということすら判断しにくい。それでは、今後のクラウドの浸透・発展について行けなくなるかもしれない。
「ハイブリッドIdPは、構築も管理も、それなりの技術力を必要とします。もちろん当社は、より使いやすい仕組みを提供していくことになるでしょうが、中身を知っているのと知っていないのでは、まるで違います。クラウドやモバイルデバイス、ネットワークなど、さまざまなアーキテクチャをどのように連携させるか。それを考え、検証し、実装することで、運用管理のプロセスもより合理的なものに変化するはずです。クラウドによってシステムエンジニアの仕事が無くなるなどと言われることがありますが、そうは思いません。ここからがシステムエンジニアの本領発揮なのです」(安納氏)
