エンタープライズ管理:より優れたWindows Azure管理にActive Directoryを使用
Windows Azure Active Directoryは、完全にクラウドでホストされているディレクトリ内で組織を管理する機能や、オンプレミスのWindows Server Active Directoryソリューション(シームレスにすでにあるディレクトリと統合することができます)と常に同期する機能を提供します。
今回のWindows Azureリリースで、コアのWindows Azure管理の中で、さらにWindows Azure Active Directoryを統合し、よりリッチな企業セキュリティの提供を可能にしています。
具体的な内容は、以下のとおりです。
-
すべてのWindows Azureアカウントは、それぞれのために作成されたデフォルトのWindows Azure Active Directoryを持っています。このディレクトリに、必要に応じてユーザを作成・マッピングし、Windows Azureリソースを管理するための管理者権限を付与することができます。
-
このディレクトリは、完全にクラウドでホストしておくことも、オンプレミスのWindows Server Active Directoryと同期することも可能です。どちらも無償です。後の方のアプローチは、Windows Azureリソースを管理するために、企業ユーザIDを使用したい企業には理想的です。また、従業員が組織を離れた場合、Windows Azureリソースへのアクセス制御権は必ずすぐに取り消されるようになっています。
-
Windows Azure Service ManagementのAPIは、Windows Azure Active Directoryの資格情報を使用して、サインインしたり、管理操作が実行できるように更新されました。
今回のリリース以前、管理操作を実行するために、お客様は管理証明書(個々のユーザは適用外の)をダウンロードし、使用する必要がありました。この管理証明書アプローチはまだサポートしています(動作できなくなることはありませんので、ご心配なく)。しかし、新しいWindows Azure Active Directory認証サポートにより、今後のお客様のリソース管理が、より簡単かつ安全に行えるようになると思います。
-
Windows Azure SDK 2.2リリース(今回出荷予定)には、Windows Azure Active Directoryで認証する新しいService Management APIのビルトインサポートが含まれているので、Active Directoryの資格情報を使用して、Visual Studio内で直接Windows Azureアプリケーションおよびリソースの作成および管理ができるようになります。
これは、Active Directoryもサポートしている更新されたPowerShellスクリプトと組み合わせることで、Windows Azureとエンドツーエンドのエンタープライズ認証が可能になります。
以下は、どのように動作するのかについての詳細になります。
ディレクトリ内のサブスクリプション
今回の更新の一部として、Windows Azure Active Directory(すでにない場合、作成されたもの)と、既存のすべてのWindow Azureアカウントを関連付けました。
念のためですが、継続してMicrosoftアカウント(以前のMicrosoft Live ID)でWindows Azureにサインインできます。
これらは、Windows Azure Active Directoryにうまくマッピングされているので、必要が無ければ、ディレクトリに固有の新しいユーザ名を作成する必要はありません。上記のシナリオは、実際、私のために作成された"scottgu"というActive DirectoryにマッピングされているMicrosoft IDがベースの@hotmail.comを使用してログインしています。デフォルトでは、すべてがこれまでと変わらず継続して動作しています。
ディレクトリの管理
ポータルの左側にある“Active Directory”タブをクリックすると、Active Directory(デフォルトで今回作成されたものを含む)を管理することができます。これにより、アカウント内のすべてのディレクトリが表示されます。
初めてクリックした場合、一般的なタスクを実行するためのドキュメントおよびリンクがある開始用のページが表示されます。
Windows Azure管理ポータル内のビルトインされたディレクトリ管理サポートを使用すると、ディレクトリ内のユーザを追加/削除/管理したり、多要素認証を有効にしたり、ディレクトリとカスタムドメイン(mycompanyname.comなど)を関連づけたり、ディレクトリを好きな名前に変更したり(これを行うにはConfigureタブをクリックしてください)できます。
“Directory Integration”タブを使用して、オンプレミスのActive Directoryと自動的に同期するようにディレクトリを設定することもできます。
デフォルトでは、ディレクトリ内のユーザーは、Windows Azureベースのリソースにログインしたり管理するための管理者権限を持っていないことにご注意ください。Windows Azureリソースにログインしたり管理する場合は、まだサブスクリプション上で共同管理者権限を付与する必要があります。これを行うには、ポータルの左側にあるSettingsタブをクリックして、そこにあるAdministratorsタブをクリックしてください。