ソーシャル エンタープライズのためのActive Directoryの再創造 (パート1)

Posted: 2012/05/27 カテゴリー: Uncategorized
タグ:, , ,

過去数年間、ひそかにWindows Azure Active Directory (Microsoftの組織向けID管理サービス) に取り組んできましたが、我々のチームが計画してきたことに関してさらなる情報を共有し始める機会を得られて興奮しています。

今日、Kim Cameron (Active DirectoryチームのDistinguished Engineer) が彼のブログに投稿したように、我々は、サービスとしてのID管理 (IDMaaS) が、ID (アイデンティティ) の状況を大きく変える可能性を持っていると考えています。このポストでは、この新世界で機能するために、MicrosoftがActive Directoryサービスをどのように再創造しているかを共有したいと思います。

Windows Server OSの一機能であるActive DirectoryのようなID管理ソリューションは、長い間使われてきました。Active Directoryは中堅企業や大企業によく使われています。そこでは、ID管理システムの構築と維持に必要となるかなりの労力とコストが、次の利点をもたらします。

  • 幅広いアプリケーションとリソースにわたるシングル サインオン (SSO) とアクセス制御
  • アプリケーション間の情報共有 (たとえば、人、グループ、報告系統、役割、連絡先情報、プリンター位置、サービス アドレス)
  • 文書の暗号化とアクセス制御を可能にする情報保護
  • コンピューター、プリンター、ファイル、アプリケーション、その他のリソースの検出
  • ユーザー、グループ、役割の管理、パスワードのリセット、暗号化キー、証明書、アクセス ポリシー、デバイス設定の構成と配布のためのツール

組織は、さまざまなソリューションを構築するために、これらの機能を足掛かりにしてきました。しばしば他のソフトウェア ベンダーのID製品とともにデプロイされる、Active Directoryの最も重要な使い方の1つは、承認されたユーザーだけが機密情報にアクセスできることを保証する、情報へのアクセスを管理する強固な基盤を提供することです。同様に、組織内の人々の間の、そして (Active Directoryフェデレーション サービス、または類似の製品を使って) 組織間のセキュアなコラボレーションを可能にする基盤として、Active Directoryはしばしば使われます。

しかし、多くの小規模な組織にとっては、ID管理システムと関連するアプリケーション統合の構築と維持は、検討するには難しすぎ、コストもかかりすぎるものでした。ID管理ソリューションをうまくデプロイした組織でさえも、ID管理をより簡単にし、その対象を広める方法を探しています。

2部構成のポストのパート1では、クラウド アーキテクチャの使用とクラウドの規模の経済によって、我々がどのようにして誰もが (ITスタッフのいない小規模組織でさえも) 手の届くコストで、Active Directoryをターンキー サービスとして提供できるようになるのかを見ていきます。我々は、このことをとても重要だと考えています。これは、ID管理の「民主化」への扉を開き、(どのプラットフォームや技術基盤で構築していたとしても) あらゆる組織とあらゆるソフトウェア開発者が頼りにできる基礎的な機能となります。

パート2では、ターンキー サービスとしてクラウドで提供されるActive Directoryが、ソーシャル エンタープライズを可能にするためにディレクトリーを使うことができる方法を再創造する機会をどのようにして提供するか、そして、開発者が、ディレクトリーを他のSaaSアプリケーション、クラウド プラットフォーム、組織の顧客、ソーシャル ネットワークに接続するアプリケーションをどれだけ簡単に作成できるようにするかを見ていきます。

Active Directoryのような強力で幅広くデプロイされているソリューションを進化させるにあたって、これらの新しい機会を対処しつつ、新たな問題を作り出さないように注意する必要があります。この概要では、我々がどのようにActive Directoryを再創造しているかに関する背景を説明し、この作業を推進する主要な考えのいくつかを紹介します。

Windows Azure Active Directoryとは何か?

我々は、幅広くデプロイされているエンタープライズ級のID管理ソリューションであるActive Directoryを、クラウドのマルチテナント サービスとして動作し、インターネット スケール、高可用性、統合された災害復旧を提供するようにしました。2011年11月にWindows Azure Active Directoryを初めて紹介して以来、Microsoft Office 365およびWindows Azureベースのアプリケーション向けの堅牢なID/アクセス管理サービスとして姿を現してきています。

その間、我々は、任意の場所で任意のプラットフォーム上で稼働するアプリケーションに価値を提供するための、新しいインターネット集中型の接続性、モバイル、コラボレーション機能を追加することで、Windows Azure Active Directoryを拡張するために作業してきました。これには、iPhponeのようなモバイル デバイス、Amazon Web Servicesのようなクラウド プラットフォーム、Javaのようなテクノロジーの上で稼働するアプリケーションが含まれます。

Windows Azure Active Directoryについて考える最も簡単な方法は、Microsoftが組織のActive Directoryをクラウドで動作できるようにしている、というものです。あなたの組織内で動作するWindows Server OSのActive Directory機能と同様に、Windows Azureを通して利用可能になるActive Directoryサービスは、あなたの組織のActive Directoryです。これはあなたの組織のディレクトリーなので、ユーザーが誰か、ディレクトリーに保持する情報は何か、誰が情報を使用、管理できるのか、どのアプリケーションが情報にアクセスできるのかを、あなたが決定します。そして、もしあなたがオンプレミスのActive Directoryをすでに持っている場合、Windows Azure Active Directoryは、独立して管理する必要がある、あなたのディレクトリの別個の追加コピーではなく、あなたがすでに持っている同じディレクトリーがクラウドに拡張されたものです。

一方、あなたの情報のプライバシー、セキュリティに対する要件を完全に尊重しながら、Active Directoryをクラウドで動作させ、高いスケール、高可用性、統合された災害復旧を提供することは、Microsoftの責任です。

理解しやすいでしょう? 実際、Windows Azure Active Directoryを使うのは本当に簡単です。これを示すために、組織がMicrosoft Office 365に登録したときに、ディレクトリーがどのように作成され使われるのかを見てみましょう。

Windows Azure Active DirectoryとOffice 365

今日、Microsoft Office 365、Microsoft Dynamics CRMやWindows Intune、企業、確立したソフトウェア ベンダー、企業を対象にしたスタートアップによって作られた多くのサードパーティー アプリケーションが、Windows Azure Active Directoryと連携しています。ここでは、Office 365に注目し、Windows Azure Active DirectoryがどのようにOffice 365をサポートしているのかを見ていきます。

新しい組織がOffice 365に登録するたびに、Microsoftは、Office 365アカウントに関連付けられた新しいWindows Azure Active Directoryを自動的に作成します。登録した人の側では、作業を必要ありません。

Active Directoryの準備が整っているので、Office 365アカウントの所有者は簡単にディレクトリーにユーザーを追加できます。次の図は、私の個人的なOffice 365アカウントに新規ユーザーをどのように追加するかを示しています。

アカウントの所有者は、ユーザーのパスワードの管理、ユーザーの役割とユーザーがアクセスできるアプリケーションの決定などを行えます。この種の設定の例を、次の図に示しています。

Office 365に登録したときに所有者が持つエクスペリエンスの興味深い側面を挙げます。

  • 使いやすさ – 前述の例が示すように、Windows Azure Active Directoryを使うのは、信じられないほどに簡単です。私の場合、単にOffice 365に登録しただけで、魔法のように高いスケール、高可用性、耐災害性のあるActive Directoryを手に入れました。私のActive Directoryはすぐに稼働し、そのために何かを行う必要はありませんでした。実際、ほとんどのOffice 365のお客様は、背後でActive Directoryが動作していることに気づいてすらいません。
  • アプリケーションにわたるシングル サインオン – たとえ組織やユーザーがWindows Azure Active Directoryがあることを気づいていなくても、ディレクトリーが可能にする共通のユーザー エクスペリエンスからすぐに多くの価値を得ます。Office 365のすべてのアプリケーション (Microsoft Exchange Online、SharePoint Online、Lync Online、Office Web Apps) は、Windows Azure Active Directoryと連携するので、ユーザーはシングル サインオンが可能です。さらに、この共通のIDを使って、情報保護のようなActive Directoryの高度な機能が利用可能です。Windows Azure Active DirectoryのSSO機能は、任意のアプリケーションから (Microsoftのアプリケーションから、または任意の技術基盤上で稼働するサード パーティーのアプリケーションから) 使えます。そのため、ユーザーが1つのアプリケーションにサインインし、別のアプリケーションに移動すると、ユーザーは再度サインインする必要がありません。
  • 共有コンテキスト – いったんアプリケーションがWindows Azure Active DirectoryとのSSOを確立すると、アプリケーションは、人、グループ、セキュリティー ロールといった、ディレクトリー内の情報を使えます。これによって、アプリケーションがより最新で関連性のある状態になり、ユーザーが使う各アプリケーションでこの情報を再作成、同期、または管理する必要がなくなるので、ユーザーの多くの時間とエネルギーを節約できます。
  • 効率的で可用性の高い運用 – Office 365のお客様は、Windows Azure Active Directoryの使用に対する別個の請求をされることはありません。Windows AzureとWindows Azure Active Directoryの使用に関するコストは、Office 365ソリューションの全体的なコストの中に組み込まれています。我々がこの高度なID管理機能群を合理的なコストで提供できる主な理由の1つは、クラウド アーキテクチャを使ってWindows Azure Active Directoryを構築し、クラウドの規模の経済を実現したことです。すぐに、これに関してさらにお話しします。

使いやすさ、SSOのような優れた共通のエクスペリエンス、(組織内の人、その関係、役割といった) アプリケーション間の共有コンテキスト、効率的で可用性の高い運用が、Windows Azure Active Directoryを多くのアプリケーションやサービスに対する優れた基盤にします。

既存のActive Directoryとの連携

前述の例が示すように、新規の組織にとって、Windows Azure Active Directoryを使い始めるのは非常に簡単です。しかし、組織がオンプレミスのID管理としてすでにActive Directoryを使っている場合は、どうでしょうか? これをサポートするために、MicrosoftはWindows Azure Active Directoryを既存のディレクトリーに「接続」することを簡単にしています。技術的には、組織は、既存のActive DirectoryとWindows Azure Active Directoryとの間でIDフェデレーションとディレクトリ同期が可能です。

組織がこれを行う場合、そのActive Directoryは、ある意味オンプレミスとクラウドの両方に広がっていることになります。ハイブリッド モードでオンプレミスとクラウドの両方にわかって動作できるActive Directoryによって、組織は、既存のID管理プロセスとアプリケーション統合に影響を与えないままで、新しいクラウド ベースのプラットフォームとSaaSアプリケーションを簡単に活用できるようになります。

加えて、パスワードなどのある種の重要な情報をオンプレミス サーバーで保持することを義務付けるビジネスや規制の要件のために、ハイブリッド モードで動作できることが非常に重要な組織もあります。

インターネット スケールでの高可用性のある稼働

Active Directoryをサービスとして利用可能にするために、我々がする必要があることは、Windows Server Active Directoryをクラウドで稼働する、つまり、Windows Azureを使ってそれぞれのお客様ごとに新しい仮想マシンを作成し、この仮想マシン上でActive Directoryを稼働させることだと、あなたは考えるかもしれません。しかし、この種のアプローチでは、Windows Azure Active Directoryで提供できている効率的な運用や高可用性を実現できません。

Active Directoryサービスを極めて高いスケール、(インクリメンタルなサービスを含む) 高可用性で動作させ、統合された災害復旧を提供するために、我々はActive Directoryの内部アーキテクチャに大幅な変更を加え、サーバーベースのシステムからスケールアウト型のクラウド ベースのシステムに移行しました。たとえば、Active Directoryストアとして動作して資格情報を発行する個別のサーバーを持つ代わりに、これらの機能を独立したロールに分割しました。トークンの発行をWindows Azureのスケールアウト型のロールにし、多数のサーバーにわたってデータセンター間で動作するように、Active Directoryストアをパーティション分割しました。

これらのアーキテクチャ変更に加えて、Active Directoryがクラウドでどのように動作するかを我々が再創造する必要があったことも、明らかでした。多くの開発者、お客様、パートナーとの会話の中で、Active Directoryの能力を、(Google、Facebook、その他のソーシャル ネットワークの) 新しいインターネット ベースのID、新しいSaaSアプリケーション、その他のクラウド プラットフォームに「接続」するように拡張してほしいと聞きました。

このすべての作業には、Microsoft内の多くの人々とチームの努力が伴いました。すべてがインターネット スケールで動作するようことは、かなりの作業であり、数年間を要しました。

我々は順調に進展してきています。今日、Office 365、Windows Intune、多くのサードパーティ アプリケーションなどのアプリケーションの一部としてWindows Azure Active Directoryを使っている、数十万の有償顧客がいます。たとえば、Office 365とその基礎をなすWindows Azure Active Directoryを使っている組織として、Hickory FarmsPatagoniaがあります。また、組織は、Windows Azure Active Directoryを使ってカスタム アプリケーションを構築しています。たとえば、ヨーロッパのeasyJetは、空港のゲート エージェント向けのフライトのチェックインや他のタスクのために、Windows Azure Active Directoryアクセス制御とWindows Azureサービス バスを使っています。

パート2の予告

この最初のポストでは、我々がActive Directoryをクラウド サービスとしてどのように再創造しているかに注目しました。クラウド アーキテクチャとクラウドの規模の経済のアプリケーションが、どのように任意のサイズ、任意のIT高度化レベルの組織に、使いやすく低コストで可用性の高い組織のID管理の力をもたらすのかを議論しました。

このポストが、サービスとしてのActive Directoryが今ここにあり、組織がそれを入手して使うのが非常に簡単であることを伝えたと願っています。Office 365といったSaaSアプリケーションや、Windows Azureや他のプラットフォーム上で構築されたカスタム アプリケーションを含む多数のアプリケーションが、すでにWindows Azure Active Directoryと統合されています。

組織内のIT担当者とユーザーにとって、これらの統合には多くの利点があります。それは、SSOのような共通のエクスペリエンス、(組織内の人、その関係、役割に関する情報といった) アプリケーション間の共有コンテキスト、一貫性のある管理、既存のディレクトリーとID管理プロセスをシームレスにクラウドに拡張する能力、効率的で可用性の高い運用です。

次回のポストでは、このActive Directoryの再創造が開発者にとって何を意味するか、そして、Active Directoryの役割を再創造するために、クラウドへの移行によってどのようにMicrosoftとソフトウェア開発者が連携することを可能にするかを取り上げます。開発者がWindows Azure Active Directoryを統合するのがどれほど簡単かに注目し、ソーシャル エンタープライズを可能にするプラットフォームとして、Windows Azure Active Directoryをどのように使えるのかを見ていきます。

特に、コンシューマー指向のIDを連携し、ソーシャル ネットワークと統合され、ディレクトリー内の情報を新しいアプリケーション エクスペリエンスに組み込むアプリケーションを開発者がより簡単に作成できるようにする、Windows Azure Active Directoryとそのプログラミング モデルへの拡張を見ていきます。そして、歴史的にID管理が果たしてきた「ファイアウォール」背後の役割を大いに超える新しいシナリオをサポートするために、開発者がどのようにWindows Azure Active Directoryを使えるかを取り上げます。開発者と協力し、組織とユーザー向けのこれらの次世代のエクスペリエンスと機能を構築することを助けることに、我々は興奮しています。

関連情報

 

 

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中