■Windows Server 2003 R2は,Active Directoryのアカウント管理の手間を削減するActive Directoryフェデレーション・サービス(ADFS)と呼ぶ機能を搭載している。この機能を利用すれば,本社のサーバーで動作している業務アプリケーションをグループ会社のユーザーに使わせる,といったことが容易に実現できる。特別なアカウント管理システムを開発する必要はない。マイクロソフトのGarth C. Fort業務執行役員サーバー&プラットフォームビジネス本部長は,「ADFSは,多くの子会社や関連会社がある日本の企業に向く機能」と説明している。
限定的な信頼関係を構築
Active Directoryは,「信頼関係」という設定によって,1つのドメインに登録したアカウントで,別のドメインのサーバーなどを利用できるようになる。本社のサーバーで動作している業務アプリケーションを子会社のユーザーに利用させる場合,本社と子会社間で信頼関係を設定する。ただし信頼関係を設定するには,VPN機器などを購入して,専用のネットワークで接続しなければならない。子会社のユーザーに特定のアプリケーションを利用させることだけを目的とする場合は,無駄が多くなってしまう。
これに対して,Windows Server 2003 R2で追加された「Active Directoryフェデレーション・サービス(ADFS)」は,Active Directoryに登録してあるユーザーと限定的な信頼関係を設定して,特定のアプリケーションのような一部のリソースだけを利用させることができる。ADFSでは,専用のネットワークは不要で,インターネットに接続されていればよい。通信は,ユーザーが利用するInternet ExplorerとWebサーバーのInternet Information Servicesの間をSSLによって暗号化する。
ADFSを使った認証の流れは図16の通りである。まず,子会社のエンドユーザーが親会社のWebサーバーにアクセスすると,認証要求を子会社のActive Directoryにリダイレクトする。子会社側では通常,既にエンドユーザーがドメインにログオンしているので,Active Directoryで認証済みとなっている。その認証済み情報が,親会社のActive Directoryに送信され,親会社のサーバーのアプリケーションを利用できるようになる。
|
図16●Active Directoryフェデレーション・サービス(ADFS)の仕組みとメリット
社外のActive Directoryのユーザーと限定的な信頼関係を構築する。子会社のユーザーにグループ共通の業務アプリケーションを利用させる場合などで,アカウント管理の手間を削減できる。 |
|
ADFSを利用するには,親会社と子会社の双方で1台ずつR2をインストールしたサーバーが必要になる。WebサーバーやWebアプリケーション・サーバーは,従来のWindowsサーバーをそのまま利用できる。
実際の導入に向けて動き
R2の出荷はまだ先だが,マイクロソフトによると,早くもADFSの導入に向けて動き出している企業があるという。「ある旅行代理店が,ADFSを使って顧客を認証し,出張時のチケットを手配するシステムの構築を検討している。また,ある大学では,学生の管理にADFSを利用できないか評価を進めている」(マイクロソフト サーバープラットフォームビジネス本部Windows Server製品グループの長谷川裕昭シニアプロダクトマネージャ)。
ADFSを利用すると,システムの開発者,管理者,エンドユーザーのそれぞれにメリットが生まれる。例えば,前述した旅行代理店のシステムで言うと,開発者は,顧客企業のユーザーを認証するためのプログラムや,ユーザーを登録しておくデータベースを開発する必要がなくなる。
さらに旅行代理店のシステム管理者は,顧客企業のユーザー情報を保存しておく必要もない。最近は,個人情報を大量に保有すると,漏えい時のリスクも高まるため,セキュリティ対策にかかるコストも無視できない。特にこの旅行代理店は,ADFSによって自社で顧客企業の社員の情報を保管しなくて済む点を評価している,という。
シングル・サインオンを実現できる
エンドユーザーは,ADFSで認証されたサーバーにシングル・サインオンで接続できるメリットがある。一般に,インターネット経由で利用するWebサイトのサービスは,専用のIDとパスワードで再度ログオンしなければならない。だがADFSを使った場合は,自社のActive Directoryにログオンしておけば,認証情報が先方のサーバーに自動送信されるので,再度ログオンする手間を省ける。
Active Directoryの管理者もアカウント管理が容易になる。エンドユーザーが退職などでアクセス権を失った場合,自社のActive Directoryなら即座にアカウントを抹消できる。だが,別の認証データベースを利用していた場合は,即座に抹消するのは容易ではない。この間に,不正アクセスされる危険性がある。
R2に実装されなかった2つの機能Windows Server 2003 R2には,当初計画されていたものの,搭載されなかった機能が2つある。一つは,LANに接続するパソコンを検疫する「Network Access Protection(NAP)」。もう一つは,ターミナル・サービスの次期版である「Bear Paw」である。これらのOSへの搭載は,2007年に出荷が計画されているR2の次期サーバーOS「Longhorn Server」で実現される予定である。 NAPは,モバイル環境のパソコンなどが社内LANに接続する前に,社内LANとは切り離した検疫ネットワークに接続し,ウイルス感染やWindowsのパッチの適用状態などを検査するものである(図A)。ここで不合格となれば,ウイルスの駆除やウイルス定義ファイルの更新,最新のパッチの適用などを実施する。この後,ネットワークの接続設定が切り替わり,LAN上の業務用サーバーに接続できる。こうした仕組みによって,LANにウイルスがまん延することを防げる,というわけである。
これと似た仕組みは,通信機器大手の米Cisco Systemsも「Network Admission Control(NAC)」と呼ぶ機能で実現している。Microsoftは,自社のNAPをCisco SystemsのNACと互換性のあるものにする予定で,これが理由でR2への搭載が見送られた。 もう一つのBear Pawは,サーバー上で動作させているアプリケーションをローカルから起動したアプリケーションのように見せる機能である。エンドユーザーは,ローカルの[スタート]メニューからアプリケーションを起動したり,作成したファイルをローカルの[マイドキュメント]フォルダに保存したりできる。現状のターミナル・サービスは,離れたサーバーのデスクトップを呼び出し,切り替えるのに対して,Bear Pawはデスクトップを切り替えるという操作を不要にしている。 |
