Shoeisha Technology Media

CodeZine(コードジン)

記事種別から探す

Active Directoryが提供する「ID管理基盤」とは

Active Directory 入門(1)

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2009/06/24 14:00

 この連載では、企業システムでWindows Serverを利用する場合に、すべての基盤となっている「Active Directory」について説明していきます。今回は、Active Directoryの概要と、Active Directoryが提供するID管理基盤としての役割を紹介します。

Active Directory入門

 企業システムでWindows Serverを利用する場合に、すべての基盤となっている仕組みがActive Directoryです。

 Windows Serverによって実現されるさまざまなサービス、例えばファイルサーバやプリントサーバといったベーシックなサービスから、データベースサーバやWindows SharePoint Servicesのようなサービスも、Active Directoryが提供するID管理機能を基盤としています。

 ここではActive Directory入門と題して、Active Directoryの概要と、Active Directoryが提供するID管理基盤としての役割を紹介します。

Active Directoryのキホン

 Active DirectoryはWindows Serverに標準搭載されているサービスの1つです。このActive Directoryによって、サーバやクライアントPCで利用しているユーザーアカウントの情報を一元的に集約し、管理・利用できます。

[図1]Active Directoryでユーザーアカウント情報を一元管理
[図1]Active Directoryでユーザーアカウント情報を一元管理

 このようにActive Directoryでアカウントを一元管理している対象範囲を「ドメイン」と呼びます。企業内に存在する多数のユーザー、PC、サーバはこのドメインを1つの単位として、Active Directoryによって管理されることになります。

 このドメインにあるユーザーアカウントなどの情報を集約して保存すること、それを実現するためにActive Directoryではこれらのアカウント情報を専用のデータベースに保存しています。アカウント情報をセキュアなデータベースにまとめることによって、パスワード等の秘密情報が漏えいする危険を抑えることができます。またアカウントの利用者が正しいユーザーであることを確認する「認証」をActive Directoryがデータベースを使って行うことで、データベースに保存されている常に新しい情報をもとに、アカウントの確認を行うことができるようになります。

ID管理とは

 Active Directoryによって実現されるID管理ですが、そもそもID管理とはどのようなものか、ID管理に求められることにはどのようなものがあるのかについて、おさらいしましょう。

[図2]ID管理の基本要素
[図2]ID管理の基本要素

 まずはID管理の「ID(Identification)」について、その定義をもう一度確認したいと思います。Active Directoryで扱う主な「ID」は、セキュリティプリンシパルと呼ばれる、ユーザー名とパスワードなどを格納したアカウント情報です。セキュリティプリンシパルは、ユーザー名と認証のためのキー情報(パスワードやデジタル証明書等)を組として格納しています

 Active Directoryでは、このユーザー名と認証キー(パスワード)を格納したセキュリティプリンシパルのデータをもとに、コンピュータにアクセスしようとしている人が入力したユーザー名とパスワードを比較することで、本当に正しいユーザーであるかどうかを認証します。

 これは認証キー(パスワード)が、正しいユーザーにしか入力できない(知られていない)ことを前提としています。

 このように、アクセスしようとしてるユーザーが本当に正しいユーザー(ID)かどうかを管理するのがID管理の基本です。しかしシステムにアクセスできる正しいユーザーがどうかを認証するためには、ユーザー名とパスワードを管理するだけでは実現できないことがあります。それは、本物であると認証されたユーザーであっても、アクセスしようとしているシステムやデータ(リソース)に対して、本当にアクセスしてよいのかどうか、アクセスするための権利を持っているかどうかを確認し、許されたユーザーだけがリソースへアクセスできるようにする必要があります。このようなアクセス権利の管理・承認を、アクセス権限の管理と呼びます。

[図3]アクセス許可にはユーザーを確認する必要がある
[図3]アクセス許可にはユーザーを確認する必要がある

 IDの認証とアクセス権利の管理について紹介してきましたが、ID管理にはもう1つ重要な要素があります。それがアクセスログ(証跡)の保存です。ID管理という側面からは、ユーザーを正しく認証しアクセス権限を管理するだけではなく、権限のないユーザーが正しくアクセスを拒否されたこと、また正しいユーザーが正しくアクセスしたことを確認する必要があります。この確認を行うことで、システムにアクセスしているユーザーが、正しく制御されていることを保証できます。

 Active Directoryでは、このようなアクセスログ取得が可能になっており、機密リソースへのアクセス監査等に対応することが可能です。

まとめ

 Active Directoryでは、ID管理のための基盤を提供するとともに、企業内で利用されるユーザーやシステムをIDに基づいて効率的に管理するためのさまざまな機能を搭載しています。

 企業内で活動する多くのユーザーをデータベースに格納し、適切な権限を付与することによって、セキュアな環境を効率的に管理するための仕組みを構築できます。

 次回以降は、Active DirectoryやWindows Serverで実現されるこれらの機能について、紹介していく予定です。

関連資料



  • LINEで送る
  • このエントリーをはてなブックマークに追加

著者プロフィール

  • 櫻井 敬子(たーきょん)(サクライ タカコ)

    コンピュータ関係の総合商社、アミューズメント系企業の情報システムを経て、NTTデータ先端技術(株)へ入社。2008年9月より(株)NTTデータ 基盤システム事業本部へ出向し、Microsoft製品、VMwareなどを中心とする部門にて勤務。2011年4月よりシステム基盤全般にかかわる部署へ異動し、各...

  • 黒田 剛(クロダ ゴウ)

    (株)NTTデータ 基盤システム事業本部にて、システム基盤全体の技術支援を行う。  

  • KEUNA(ケウナ)

    : Admintech.jp オンラインコミュニティで長く活動を続けており、Windows Server や Network 技術を中心に、開発までを含めた幅広い経験を持つ。Windows Server を利用した Web Service の設計や運用、Active Directory を中心とし...

バックナンバー

連載:Active Directory入門
All contents copyright © 2005-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5