ADFS とは
ADFS(Active Directory Federation Services)は、Microsoft 社が提供するシングルサインオン(Single Sign-On)のソリューションです。Windows Server オペレーティングシステムのコンポーネントとしてユーザーに、 Active Directory(AD)経由の統合 Windows 認証(Integrated Windows Authentication)ではアクセスできないアプリケーションへの認証アクセスを提供します。
ADFS の優れた柔軟性により、企業はユーザーエクスペリエンスを簡易化しながら従業員のアカウントを管理することが可能になります。シングルサインオンを利用することで、従業員は 1 つの認証情報を覚えておきさえすれば、複数のアプリケーションにアクセスできるのです。
ADFS の仕組み
ADFS は、Active Directory と対象アプリケーションの間でホストされるプロキシサービスを経由して認証を管理します。認証連携(Federated Trust)を利用して ADFS と対象アプリケーションをリンクし、ユーザーにアクセス許可する仕組みとなっています。これにより、ユーザーはシングルサインオンを通じて連携されたアプリケーションにログオンできます。アプリケーションで直接アイデンティティを認証する必要はありません。
認証プロセスは通常、次の 4 つのステップで行われます。
- ユーザーが ADFS サービスの URL に移動します。
- ADFS サービスが企業の Active Directory サービスを介してユーザーを認証します。
- 認証が完了したら、ADFS サービスはユーザーに認証クレームを提供します。
- ユーザーのブラウザがこのクレームを対象アプリケーションに転送し、作成された認証連携サービスに基づいてアクセスが許可または拒否されます。
多くの企業で ADFS が選ばれる理由
ADFS は、オンライン接続されるアプリケーションやサービスが増えたことで AD に生じた認証の問題を解決する必要性から誕生しました。Active Directory と統合 Windows 認証では昨今の環境において、Active Directory に統合されたアプリケーションに外部からアクセスしようとするユーザーを認証できないという制約があります。現状の業務環境では Active Directory 組織が所有・管理していないアプリケーションにユーザーがアクセスする必要が多いため、このことが問題となっています。
ADFS を使えば、サードパーティー認証にまつわるこうした問題を解決かつ簡略化できる一方で、一定のリスクやデメリットも生じます。
ADFS を利用することで、Active Directory に統合されたアプリケーションに遠隔からアクセスする必要のあるユーザーに関する問題が解消されます。また、ウェブインターフェイスから企業標準の Active Directory 認識情報を使って認証できる柔軟なソリューションが提供されることになります。これにより、ある企業のユーザーが Active Directory ドメイン範囲を越えて、別の企業のアプリケーションにアクセスできるようになります。例えば、パートナー企業や最新のクラウドサービスで稼働するアプリケーションが、拡張された IT 環境の一部として多くの企業に利用されています。
企業の 90% が Active Directory を利用しています。つまりこれは、多くの企業が ADFS も利用していることを意味します。
ADFS 認証を使用するリスクとデメリット
ADFS には確かに欠点もあり、理想的な認証ソリューションとは言い切れません。こうしたデメリットには、目に見えないインフラストラクチャーとメンテナンスのコスト、そしてセキュリティリスクが挙げられます。
ADFS 自体は Windows Server の無料機能ではありますが、これを利用するには Windows Server のライセンス、そして ADFS サービスをホストするサーバーが必要となるため、企業にとってはコストがかかります。特に、ライセンスモデルがコアベースに移行した Windows Server 2016 以降、サーバーライセンスのコストは増加しています。
目に見えないメンテナンスコスト
ADFS 利用で直接発生するコストに加え、ADFS サービスの管理とメンテナンスにかかる運用コストが継続的に発生することにも考慮が必要です。Active Directory ドメイン間の信頼関係を維持する従業員には高度な技術スキルが求められ、またADFS サーバーには定期的にパッチの適用、更新、バックアップを行う必要があります。さらに、ADFS は重要なサービスであるため、高い可用性が要求されます。構成の仕方によっては、ADFS にはインフラストラクチャーの拡充に伴う直接的なコスト、複雑さが増すことに伴う間接的なコストの両面で、予想以上のコストがかかります。
全般的な複雑さ
ADFS ソリューションの利用、構成、メンテナンスは簡単な作業ではありません。また、ADFS サービスにアプリケーションを追加するたびに発生するプロセスは、時間がかかる上技術的にも複雑で IT の俊敏性を損なうものです。
セキュリティリスク
ADFS をそのまま標準インストールしただけでは安全性が高いとは言えません。適切なセキュリティーを確保するには、IT 担当者が複数のステップを実施する必要があります。また、ADFS は Windows Server 上で動作するため、ソリューションを安全な状態に保つには Windows Server のセキュリティーも強化し、保護しなければなりません。
ADFS とクラウドアイデンティティ
ADFS には確かにメリットがあり、アイデンティティ連携ソリューションを必要とする多くの企業に使用されています。一方で、ADFS には見過ごすことのできない明らかなデメリットもあります。
サードパーティ製のクラウドベースアイデンティティサービスには、ADFS に匹敵するか、場合によってはより優れた機能を持つものもあります。クラウドアイデンティティソリューションは、運用に必要なオペレーションコストが少なくて済むため、ADFS よりもコスト効率に優れています。その上、優れた可用性と何百ものアプリケーションとのシームレスな統合も備えています。Okta は、安全なクラウドベースのアイデンティティソリューションをユーザーに提供します。これは認証にまつわる問題を解決するだけでなく、常にセキュリティを重視するソリューションです。
ADFS の目に見えないコストを回避する方法を学び、自社に最適な認証ソリューションを見つけてください。
Active Directory関連 ページ・資料
