主要ID管理テクノロジー「 Active Directory 」の概要について紹介します。Windowsドメインネットワークで広く利用されています。「導入メリット」「主な特徴」「データ階層構造」「提供するディレクトリサービス」などのテーマについて参照できます。
コンテンツ
「Active Directory」とは
概要
Active Directory(AD)とは、Microsoftが提供するWindowsドメインネットワーク向けの「ディレクトリおよびID管理サービス」です。
ディレクトリサービスとして、「ユーザー」「デバイス」「アプリケーション」「グループ」など、ローカルネットワーク上のオブジェクトに関するデータを保存します。
これらのデータを階層構造で編成するため、ネットワークに関するデータを容易に検索でき、ID管理サービスとしても利用できます。
Microsoftソリューションでの使用
Active Directoryは、Windows2000で導入され、多くのMicrosoftソリューションで利用されています。
・Windows Server
・Exchange Server
・SharePoint Server
・サードパーティのアプリケーション(サービス) など
利用技術
Active Directoryは、他のセキュリティプロトコルやネットワークプロトコルにも準拠しているため、非Windowsシステムとの通信が可能です。
・LDAP(Lightweight Directory Access Protocol)
・DNS(Domain Name System)
・Kerberos認証プロトコル など
導入メリット
セキュリティ
「ネットワークリソースへのアクセス制御機能」により、企業がセキュリティを向上させるのに役立ちます。
拡張性
組織構造やビジネスニーズの変化に合わせて、Active Directoryデータを整理し拡張できます。
一元管理
管理者は企業全体の「ユーザーIDおよびアクセス権限」について一元管理できるため、運用コストを削減できます。
シングルサインオン
シングルサインオン実装が可能となり、単一の「ユーザーID+パスワード」で複数のリソースにアクセスできます。
高可用性
「冗長コンポーネント」と「データレプリケーション」をサポートしているため、「高可用性」と「ビジネス継続性」を実現できます。
主な特徴
スキーマ機能
Active Directoryのスキーマは、「オブジェクト」と「オブジェクト属性情報」のセットをサポートします。
オブジェクトの例
・ユーザー
・グループ
・連絡先
・コンピューター
・共有フォルダ
・プリンター
・組織単位 など
属性情報の例
例えば、「ユーザーオブジェクト」の属性としては、次のようなものが含まれます。
・ユーザーID
・パスワード
・ユーザー名
・住所
・メールアドレス
・電話番号 など
クエリ(インデックス)メカニズム
「ユーザー」「管理者」「アプリケーション」などがディレクトリ情報を効率的に検索できる機能を提供します。
レプリケーションサービス
ローカルネットワーク全体にディレクトリデータを配布します。
マルチマスターレプリケーション
すべて同一の構成を持つ複数のデータセンターをサポートできます。
「ユーザーへの応答高速化」「障害が発生した場合の相互バックアップ機能」などのメリットがあります。
PowerShellコマンドレット
Microsoft PowerShellは、Active Directoryに変更を加えて管理プロセスを合理化できるコマンドレットをサポートしています。
データ階層構造
概要
Active Directoryは、各種情報を「ドメイン」「ツリー」「フォレスト」で構成される階層構造に保存します。
ドメイン
ドメインは、同じデータベースを共有するオブジェクトのコレクションです。
「company.com」のようなDNS名によって識別されます。
組織単位グループ化
メイン管理者は、ドメイン内オブジェクトを「組織単位(OU:Organizational Unit)」にグループ化できます。
「機能単位」「地理単位」「ビジネス構造単位」などの任意の組織単位を作成し、それぞれの組織単位に「グループポリシー」や「リソース制御」を適用して管理を簡素化できます。
メイン管理者は組織単位ごとのサブ管理者に管理作業を委任しやすくなり、ドメイン管理の責任を分散できるメリットもあります。
ツリー
ツリーは、連続した名前空間を持つ「1つ以上のドメインのコレクション」です。
「marketing.company.com」や「sales.company.com」のように共通のDNSルート名がベースとなります。
フォレスト
フォレストは、「1つ以上のツリーのコレクション」ですが、連続した名前空間の一部ではありません。
主として、企業ネットワークのセキュリティ境界として機能します。
また、フォレスト内の複数ドメインへのログインサポートが可能で、あるドメインのユーザーが別のドメインのリソースにアクセスできる信頼関係を作成できます。
提供するディレクトリサービス
Active Directoryは「複数のディレクトリサービスのコレクション」であり、「Active Directoryドメインサービス」と共に機能します。
Active Directoryドメインサービス
「ドメインサービス」は、ユーザーとリソースの管理に使用されるActive Directoryのコアサービスです。
ユーザーを認証し、ネットワークリソースへのアクセスを制御するために使用されます。
ドメインコントローラー
「ドメインサービス」を実行するサーバーは「ドメインコントローラー」と呼ばれます。
ユーザーはログオンするために、ドメインコントローラーに接続する必要があり、ドメインコントローラーによって認証され、管理上定義されたポリシーに基づいて特定リソースへのアクセスが許可されます。
多くのWindowsドメインネットワークでは、高可用性確保のために、「1つのプライマリドメインコントローラー」+「1つ以上のバックアップドメインコントローラー」で構成されます。
Active Directoryライトウェイトディレクトリサービス
「ライトウェイトディレクトリサービス」は「MicrosoftによるLDAPプロトコル実装」です。
LDAP(Lightweight Directory Access Protocol)とは、ネットワーク上のリソースにアクセスするための認証を可能にするコアテクノロジーです。
Active Directory証明書サービス
「証明書サービス」は、デジタルセキュリティ証明書の管理機能を提供するサービスです。
ネットワーク上のユーザーデータを暗号化するために使用される「公開鍵証明書」について、「作成」「取り消し」「検証」できます。
Active Directoryフェデレーションサービス
「フェデレーションサービス」は、「シングルサインオン」に関するインフラストラクチャバックボーン機能を提供します。
Active Directory Rights Managementサービス
「Rights Managementサービス」は、ドキュメントに対する「暗号化」および「権利権限」について管理できるサービスです。
「Eメール」「Wordファイル」「Webページ」などのさまざまなドキュメントに対して、「暗号化機能」と「選択的機能拒否機能」を実装できます。
例えば、「ネットワーク上のユーザーのみが該当ドキュメントをプリントアウトできる」などの設定を実施できます。
日本企業向けクラウドID管理サービス「Keyspider」とは?
Keyspiderオフィシャルサイトでは、Keyspiderに関する情報を紹介しています。
「日本企業向けである理由」「Keyspiderが必要である理由」「JSOX法対応」「業務自動化」などについて参照できます。
参考サイト