TechReport

技術者情報

ソリューション

2015年2月26日(木)公開

第171回

Microsoft Azureを使ったハイブリットクラウドの構築方法

WSADからAADへのディレクトリ同期

クラウドブームの新たなキーワード、ハイブリッドクラウド。
VPS上に作成したWindows Serverの環境と、Microsoft Azureを使った構築方法をご紹介します。

記事INDEX

ハイブリッドクラウドの構築

 少し前のクラウドブームでは、様々な仮想化プラットフォームの登場で、なんでもかんでも仮想化すべし!というキーワードがもてはやされていました。仮想マシン、仮想ネットワーク、仮想ディスク、などが大きな例です。


仮想化は確かに便利で、ハードウェアの性能アップやソフトウェア技術の向上、運用コストの削減や利益向上といったメリットがあります。そのため、プライベートクラウドを構築するために、導入する企業や個人ユーザーが爆発的に増え、クラウドと仮想化技術は切っても切れないものとなったのです。


そんな中、AWSやMicrosoft Azureのパブリッククラウドの登場で、ユーザーは自身で仮想化環境を用意することなく、簡単に、低コストでクラウド上の仮想環境を利用することができるようになりました。クラウドブームの次のキーワード、それはハイブリッドクラウドです。パブリッククラウドと、自身のプライベートクラウドの良い点をうまく組み合わせて利用することで、効率アップやコスト削減、高価最大といった新しいクラウドの利用方法がみえてきます。ハイブリッドクラウドに求められる要件としては、



・双方向のネットワーク接続


・シームレスなセキュリティーの実装


・データの同期


・システム、アプリケーション間で通信



が必要となります。Windows Serverで構築したプライベートクラウド環境と、パブリッククラウドとしてMicrosoft Azureを利用したハイブリッドクラウドは基盤となるOSが共通であるため、ハイブリッド化がしやすく、無駄のないシステム連携を行うことが可能となっています。

Azure Active Directory(AAD)とは

 今回はVPS上のWindows Server仮想マシンとの連携ということで、まずははじめの一歩、アカウントありき。VPS上のWindows Server仮想マシンで構築したWindows Server Active Directory(WSAD=いわゆる一般的なWindowsのドメイン)と、Azure Active Directory(AAD)の同期方法をご紹介してみようと思います。


そもそもの前提として、AAD というものは「Active Directory」と名前がついているものの、Windows Serverで構築するActive Directoryとは異なり、主にクラウド上の認証機能だけを提供するものとなっています。ポリシーによる機能制限や、ドメインへのログオン、ファイルアクセスのセキュリティー管理機能などは提供されていません。AADは主に2つのサービスを提供しています。一つはディレクトリサービスとして、Azure上のWebアプリケーションの認証や、Office365の認証などに利用されています。ディレクトリサービスでは、IDとパスワードの組み合わせの他にも、携帯電話認証やSMSなどのテキストメッセージによる認証など、多要素認証に対応しています。もう一つ、アクセスコントロールサービスとしては、FacebookやGoogleなどのソーシャルアプリケーションへのシングルサインオンを実現する機能も提供しています。

ディレクトリ同期のメリット

 それでは、このAAD と、これまでなじみのあるWSADを同期するメリットはなんでしょうか。すでに構築済みのWSADのアカウント情報を、自動的に同期しそのままAADで利用できることは、生産性の向上と管理コストの削減となります。何百、何千もあるアカウント情報をMicrosoft Azure上にあらためて作成、管理するといった作業は必要なくなります。平たく言えば時間と手間が省けるということです。また、アカウントのロックや、定期的なパスワード更新などのセキュリティーアップのオペレーションも自動的にWSADの更新分をAADに反映するので、よりセキュアなクラウド利用を行うことができるようになります。

ディレクトリ同期のシナリオ

 では、具体的にWSADとAADのディレクトリの同期方法を紹介してみましょう。


ディレクトリ同期のシナリオには大きく分けて2つシナリオがあります。



1.ディレクトリ同期とパスワード同期のシナリオ


WSADのアカウント情報とパスワード情報を「ディレクトリ同期ツール」を利用して自動的に同期するものです。この場合、WSADと同じアカウント情報がAADにコピーされる仕様となっています。



2.ディレクトリ同期とシングルサインオンのシナリオ


WSADにログインしている状態で、ログインレスでそのままWindows Azureなどのクラウドサービスを利用できるものです。シングルサインオンを実現するためには、Active Directoryフェデレーションサービス (ADFS)を配置して、WSADへのログインが必要となります。

仮想マシンからWindows Azure Directoryへディレクトリシンク!

 今回はより簡単な、「ディレクトリ同期とパスワード同期のシナリオ」を具体的にご紹介します。


前提条件として、



・Microsoft Azure にサインアップ済みであること。


・同期するディレクトリ(アカウント)が50,000個未満であること。


・Windows Server Active Directory(WSAD)を構築済みであること。


・「ディレクトリ同期ツール」をインストールするために、ドメイン参加済みの専用の仮想マシンが必要。(ドメインコントーラーに「ディレクトリ同期ツール」をインストールすることはできません。)Microsoft .NET Framework 3.5がインストール済みであること。



となります。


Microsoft Azureには一か月の無料評価版がありますので、Microsoft Azure にまだサインアップしていない方は、是非無料評価版にサインアップしてみてください。


 では早速構築してみましょう。

Azure Active Directoryの設定

 まずは、Microsoft Azureにログインします。


 ログインが完了したら、メニュー一覧から「Active Directory」を選択します。


 デフォルトで「既定のディレクトリ」がアクティブの状態で作成されています。


既定のディレクトリをクリックして詳細を表示します。ここで、ディレクトリの同期に必要な「Azure Active Directory 管理者」アカウントを作成しておきます。「ユーザー」メニューをクリックして、「ユーザーの追加」を選択します。


 今回は「組織内の新しいユーザー」として「admin」という名前で作成します。このときユーザー名として「admin@conoha.onmicrosoft.com」という名前で作成されます。この名前が後で同期ツールの設定時に必要となるのでメモしておいてください。


 ロールは「全体管理者」とします。


 管理者ユーザーの追加が完了したら、「ディレクトリ統合」メニューを選択します。「ディレクトリの同期」が「非アクティブ化済み」となっているので、こちらを「アクティブ化済み」に変更します。


ディレクトリ同期ツールのインストールと実行

 次に、その下にある「ディレクトリ同期ツールをインストールして実行する」のリンクからディレクトリ同期ツールをダウンロードします。(ディレクトリ同期用の専用仮想マシン上で実施)


 「ディレクトリ同期ツール」をダウンロードしたら、そのままインストールを開始します。



 インストールが完了したら、そのまま「構成ウィザードをいますぐ開始する」を選択して、同期ツールの設定を行います。



「Windows Azure Active Directory 管理者の資格情報」には、先ほど作成した「admin@conoha.onmicrosoft.com」と入力します。


 (Azure Active Directoryが正式名ですが、ツールでは古い名前となっています。)


「Active Directory エンタープライズ管理者の資格情報」のユーザー名には、VPS上のWindows Server仮想マシンで構築したWindows Server Active Directoryの管理者アカウントを入力します。


 今回はWSAD→AADへの一方通行へのディレクトリ同期なので、「混合環境を有効にする」のチェックは不要です。


 「パスワード同期を有効にする」のチェックは必須です。


 「ディレクトリを今すぐ同期する」を選択して、ウィザードを終了します。


同期の確認

 ディレクトリの同期が完了すると、Microsoft Azureの「ディレクトリ統合」メニュー内で状態が確認できます。



 実際にアカウントとパスワードの同期が完了しているか、確認してみましょう。 WSAD内にあらかじめ作成しておいた、アカウント「lady」「gentle」この二つのユーザーアカウントが、AADのユーザー一覧に追加されているのが確認できます。



 実際に同期されたアカウントでMicrosoft Azure にログインしてみましょう。


 まだ、Microsoft Azureのサブスクリプションのサインアップを行っていませんが、Microsoft Azureに同期されたアカウントでログインができています。


おわりに

 今回ご紹介したのは、ディレクトリ同期のシナリオでも、「ディレクトリ同期ツール」を使った比較的簡単な方法となります。WSADからAADへの一方通行の同期です。これだけでも、大量のアカウントを改めてMicrosoft Azure上に作りなおす手間がなくなります。シングルサインオンを実現するActive Directory フェデレーション サービス (ADFS)を配置したシナリオでは、これよりも構成が複雑化する代わりに、WSADだけでAADへのアカウント管理も一元的に可能となります。


シングルサインオンについて興味がある方は、下記をご参考に是非チャレンジしてみてください!



参考:


TechNetディレクトリの統合の概要


http://technet.microsoft.com/ja-jp/library/jj573653.aspx

*本文中に記載されている会社名および商品名・サービス名は、各社の商標 または登録商標です。

樋口 勝一

GMOインターネット株式会社

1999年6月GMOインターネットに入社。Windowsを用いたホスティング事業の立ち上げの際、サービス開発からその後の保守・運用まで1人で担当。2010年には「お名前.comWindowsデスクトップ」をリリースし、マイクロソフト社と強い信頼関係を構築。2007年から連続で「マイクロソフトMVPアワード」を受賞し、Windowsのスペシャリストとして活躍。

執筆者一覧