ADFSとは?仕組みやメリット・デメリット、必要とされる理由まで詳しく解説
HC
橋爪兼続
Jul 26, 2023
ADFSとは?
ID管理において、Windows Serverの機能であるActive Directory(AD)が広く利用されています。しかし、近年はクラウドサービスを活用する機会が増え、ADとクラウドサービスを連携するニーズが高まっています。その際に便利なのが、ADを用いたシングルサインオンのソリューションであるADFS(Active Directory Federation Services)です。 本記事は、ADFSの仕組みやメリット・デメリット、そしてなぜ選ばれているかの理由について詳しく解説していきます。
ADFSは、Microsoftが提供するシングルサインオンソリューションです。 効率的な認証アクセス、セキュリティの向上、柔軟性と拡張性があり、多くの業界で効果的に活用されています。
例えば、ある教育機関は、ADFSを活用してクラウドサービスとオンプレミスのシステムを統合し、教職員と学生がシングルサインオンで教育ツールやリソースにアクセスできるようにしました。 結果として、利便性が向上し、学習効果を高めることができました。
事例からもわかるように、ADFSの導入によって業務効率が向上し、IT部門の負担が軽減される事が期待できます。
ADFSの仕組みについて
ADFSは、Active Directoryと対象のクラウドサービスの間でフェデレーション信頼を作成し、一度のログインで多数のサービスに接続できるようにする認証連携です。 アクセス許可は以下の流れで実施されます。
認証要求の開始: ユーザーがクライアントアプリケーション(Webブラウザなど)から保護されたリソースにアクセスする場合、最初に認証要求が開始されます。
クライアントリダイレクト: 認証要求が開始されると、クライアントアプリケーションはADFSサーバーに対してリダイレクト要求を送信します。リダイレクト要求には、要求されたリソースのアドレスや認証プロトコル(例:SAML)などの情報が含まれます。
ユーザーの認証: ADFSサーバーはユーザーを認証するために、設定された認証プロバイダ(例:Active Directory)を使用します。ユーザーはユーザー名とパスワードを入力したり、多要素認証を行ったりします。
セキュリティトークンの発行: ユーザーの認証が成功すると、ADFSサーバーはセキュリティトークンを生成します。このセキュリティトークンには、ユーザーの識別情報やアクセス許可情報が含まれます。
セキュリティトークンの送信: ADFSサーバーは、発行されたセキュリティトークンをクライアントアプリケーションに送信します。これにより、クライアントアプリケーションはセキュリティトークンを取得し、保護されたリソースへのアクセスを要求する際に使用します。
リソースへのアクセス: クライアントアプリケーションは、保護されたリソースへのアクセス時にセキュリティトークンを提供します。リソースサーバーはセキュリティトークンを検証し、ユーザーがアクセス権を持っているかどうかを確認します。認証と認可が成功した場合、ユーザーはリソースにアクセスできます。
認証連携による利点は、利用者が一度のログインで多数のサービスに接続できる点です。
例えば、Salesforceを使用するケースでは、ADFSを使用してSalesforceへの接続の認証連携が可能です。
多くの企業で ADFS が選ばれる理由
多くの企業がADFSを選択する理由は、ADFSが現代のIT環境においてActive Directory (AD) 組織が所有・管理していないアプリへの接続を認証できるようにする為です。
これにより、企業はセキュリティを維持しながら、外部パートナーなどとの連携を円滑に進めることができます。
例として、大手自動車メーカーが、グローバルなサプライチェーン管理のために、様々なサプライヤーと連携している場合を考えてみましょう。 会社はADFSの使用により、異なるサプライヤーのプラットフォームやアプリケーションに対して、自社のActive Directory認証情報を使用してアクセスできるようになります。 これにより、セキュリティに配慮しながら効率的かつ迅速な情報共有が可能となります。
ADFSのメリット
ADFSの利用におけるメリットとしては以下の通りです。
シングルサインオン(SSO)の実現:
ADFSは、ユーザーが1回の認証で複数のアプリケーションやサービスにアクセスできるシングルサインオン(SSO)を提供します。これにより、ユーザーエクスペリエンスが向上し、パスワードの管理や入力回数の削減などの利便性が実現されます。セキュリティの強化:
ADFSは、セキュリティトークンを使用して認証情報を交換します。これにより、パスワードの流出や盗難によるセキュリティリスクを軽減することができます。また、多要素認証を組み合わせることで、セキュリティレベルを更に強化することができます。統合的なID管理:
ADFSは、異なる認証システムやディレクトリサービス(例:Active Directory)に存在するユーザーアカウントを統合的に管理します。これにより、ユーザーのアカウント情報を一元化し、一貫性のあるアクセス制御を実現することができます。組織間のID連携:
ADFSは、異なる信頼関係を持つ組織間でのID連携を実現します。これにより、企業間やパートナー間でのシームレスなアクセスが可能となり、業務プロセスの効率化やパートナーシップの促進に役立ちます。柔軟なアプリケーションへの適用:
ADFSは、オンプレミス環境やクラウド環境の両方で利用することができます。さまざまなプラットフォームやアプリケーションに対して適用可能であり、既存のシステムにシームレスに統合できる利点があります。監査とレポート:
ADFSは、認証やアクセス制御に関する監査ログを取得し、レポート機能を提供します。これにより、セキュリティ上のリスクを監視し、コンプライアンス要件の遵守やトラブルシューティングに役立ちます。
これらのメリットにより、企業はセキュリティの向上、ユーザーエクスペリエンスの向上、効率化、柔軟性の向上などの利点を得ることができます。ただし、導入には適切な計画と設計が必要であり、組織のニーズや環境に合わせた導入が重要です。
ADFS認証を利用するリスクとデメリット
ADFSは利用者にもクラウド側にも利点があり便利ですが、リスクやデメリットも存在します。 ここでは、ADFSの利用におけるリスクとデメリットについて解説します。
コストがかかる
ADFS のデメリットは、導入に伴う直接的なコストに加え、サービスの管理とメンテナンスにかかる継続的な運用コストが高くなることです。
ADFSを利用する社員には高い技術スキルが必要であり、定期的なパッチ適用、更新、バックアップが重要になります。
また、高い可用性が要求されるため、構成によってはインフラストラクチャーの拡充に伴う直接的なコスト、複雑さが増すことに伴う間接的な費用も生じる可能性があります。
このため、ADFS の導入前にはコストの見積もりや必要な技術スキルの確認など、十分な検討が大切です。
セキュリティリスク
ADFS のデメリットは、セキュリティリスクに懸念があるところです。例えば、一つのアカウントが漏洩すると、そのアカウントが連携されているサービスが全て利用される可能性が出てきます。
その為、ADFS の導入後、IT 担当者は適切なセキュリティ対策を講じる必要があり、Windows Serverについても同様に強化する必要があります。
悪意のある第三者による攻撃や、セキュリティ上のミスが発生するリスクがあるため、ADFS の導入前には十分な検討が大切です。
まとめ
ADFS は、Active Directory とクラウドサービスを統合し、認証連携を行うことで、利用者の一度のログインで複数のアプリやサービスに接続できるシングルサインオン (SSO) 機能を提供します。
ADFS の導入には様々なメリットがあります。 例えば、Active Directory に統合されたアプリにリモートで接続しなければならない利用者に関連する課題が解消されます。
しかしながら、ADFS の導入にはいくつかのデメリットもあります。 例えば、ADFS は Windows Server 上で動くため、Windows Server のセキュリティ強化が大切です。
ADFS は、多くの企業が Active Directory を利用していることから、利用者の利便性向上やセキュリティー強化の為に導入されることが多いです。
ただし、場合によっては多額のコストがかかるため、導入は十分に検討してからにしましょう。
よくある質問
ADFSとはどういう意味ですか?
ADFSは、Active Directory Federation Service(アクティブ ディレクトリ フェデレーション サービス)の略称であり、社内のActive Directory(AD)認証基盤を利用して、クラウドなど社外のさまざまなサービスに対する認証を一元化する機能を指します。
ADFSとADDSの違いは何ですか?
ADDSはActive Directory Domain Services(アクティブ ディレクトリ ドメイン サービス)の略称であり、組織内でWindows認証によるシングルサインオン(SSO)機能を提供します。一方、ADFSはActive Directory Federation Services(アクティブ ディレクトリ フェデレーション サービス)の略称であり、この機能をインターネット対応アプリケーションに拡張し、外部の顧客やパートナーがWebのSSO機能を利用できるようにします。要するに、ADDSは組織内でのSSOを、ADFSは外部利用者も含めた拡張されたSSOを可能にするものです。
ADFSの仕組みは?
ADFS(Active Directory Federation Services)の仕組みは、Active Directoryと対象アプリケーションの間でホストされるプロキシサービスを介して認証を管理します。具体的には、認証連携(Federated Trust)を利用してADFSと対象アプリケーションをリンクし、ユーザーにアクセス許可を提供する仕組みとなっています。この仕組みにより、ユーザーは一度のログインで複数の対象アプリケーションにアクセスできるようになります。
執筆者:
橋爪兼続
ライトハウスコンサルタント代表。2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。情報処理安全確保支援士(第000049号)。
他の記事
