Azure AD Connect によるパススルー認証

この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

※これは2017年11月にID Based Securityイニシアティブ　コミュニティのブログに投稿された記事です※

パーソルプロセス＆テクノロジーの山本です。

今回のお題は「Azure AD Connect」による「パススルー認証」を取り上げます。

従来、Azure Active Directory(Azure AD)をオンプレミスのActive Directoryと同じユーザーアカウント・パスワードでサインインしたい場合、パスワード同期方式（PHS:Password Hash Sync）、フェデレーション方式（ADFS:Active Directory Federation Services）を使用する必要がありました。

2017年10月に、新たにパススルー方式（PTA:Pass-Througn Authentication）が一般公開されました。パススルー方式を一言で言えば、パスワード同期方式とフェデレーション方式の良いとこ取りをした方式と言えます。

それでは、パススルー方式の特徴をパスワード同期方式、フェデレーション方式と比較しながら見ていきましょう。

◇認証の仕組みについて

パスワード同期方式は、その名の通りAADConnectの同期機能を使用して暗号化されたパスワードハッシュ情報を同期します。認証は、AzureADに対して行います。

AD FSは、AzureADの認証を行う際に、WAPへURLリダイレクトが行われ、AD FSで認証しトークン（チケット）を配布してもらいます。以降、このトークンをアプリケーションに提示することにより認可を行います。

パススルー方式は、Azure ADへサインインする際、ユーザーのパスワードがオンプレミスのActive Directoryに対して直接検証されます。技術的には、Azure AD Application Proxyのアーキテクチャを利用しているようです。
認証処理が行われると、認証要求が暗号化されキューに入り、AADConnectのAuthentication Agentがキューを取り出し複合化してActiveDirectoryに認証要求を問い合わせ、認証結果を再度キューに返します。
Authentivation Agentが代替応答をしているイメージすれば分かりやすいと思います。

なお、先の説明で、「Azure AD Application Proxyのアーキテクチャを利用している」と書きましたが、このパススルー認証は、Azure AD Basic プランは不要です。FREEプランでも使用することができます。

また、一部制限事項があるため使用することができるか事前に確認しておく必要があります。

「Azure Active Directory パススルー認証:現在の制限事項」の情報によると、サポート状況は以下の通りとなります。

サポートされるシナリオ

すべての Web ブラウザーベースのアプリケーションへのユーザーサインイン。
最新の認証をサポートする Office 365 クライアントアプリケーションへのユーザーサインイン – Office 2016、および Office 2013 (最新の認証_あり_)。
Windows 10 デバイスの Azure AD Join。
Exchange ActiveSync のサポート。

サポートされていないシナリオ

従来の Office クライアントアプリケーションへのユーザーサインイン – Office 2010、および Office 2013 (最新の認証_なし_)。組織は、可能であれば最新の認証に切り替えることが推奨されます。最新の認証により、パススルー認証のサポートが可能になるだけでなく、Multi-Factor Authentication (MFA) などの条件付きアクセス機能を使用してユーザーアカウントをセキュリティで保護することもできます。
Skype for Business クライアントアプリケーション (Skype for Business 2016 を含む) へのユーザーサインイン。
PowerShell v1.0 へのユーザーサインイン。代わりに、PowerShell v2.0 を使用することをお勧めします。
Azure AD Domain Services。
MFA のためのアプリパスワード。
資格情報が漏洩したユーザーの検出。

サポートされない場合は、パスワード同期方式を使用することが推奨されています。

◇セキュリティ面について

セキュリティについては、ポイントが3つあります。

一つ目は、外部からの攻撃ポイントです。
パスワード同期方式・パススルー方式ともに、外部からの入り口はAzure ADになるため、攻撃対策はマイクロソフト側に任せることができます。また、オンプレミスからの通信に関しては、受信ポート開放が不要なため、攻撃ポイントは無いといっていいでしょう。
一方、フェデレーション方式では、外部からの入り口がWeb Application Proxy（WAP）サーバーを置くDMZセグメントとなるため、自前で受信ポート開放等ファイアウォールの設定・維持管理を行う必要があります。

二つ目は、パスワードの保存場所です。
パスワード同期方式は、AzureAD上にパスワードハッシュ情報が同期されクラウド上に保存されます。
フェデレーション・パススルー方式はパスワードの保存先はActiveDirectoryのみになります。パスワードハッシュ情報がクラウドに保存される＝危険というのは大げさですが、少なからずともコンプライアンス面で気にされるエンドユーザーもいるはずです。「でも、大規模なAD FSを構築するまでもないし・・・」という方には、パススルー方式が響くポイントかもしれません。

三つ目は、パスワードポリシーです。
同期方式の場合は、デフォルト30分毎の同期のため、パスワード変更・アカウントロック・無効化にタイムラグが発生します。
パススルー方式・フェデレーション方式の場合は、ActiveDirectoryによりIDが一元管理されているため即時反映となります。

◇認証について

ADFSの場合はクレーム処理の中で条件を記述することができるため、認証の対象とするアカウントでIPアドレス制限等を行うことができました。
パスワード同期・パススルー認証については、AzureADConnectでディレクトリ同期している全アカウントが認証対象となり、AzureADConnectの機能だけでは制御することができません。
この部分を補完するのがAzureADの条件付きアクセス制御機能になります。※1
AzureADで認証処理を行うことにより、AzureADの様々な機能の恩恵を受けることができるのはメリットがあると言えるでしょう。

※1 条件付きアクセスには「AzureAD Premium P1」ライセンスがユーザーアカウント数分必要になります。

◇PTAの冗長性について

認証機能は、その特性から絶対に止められないものであり、障害時のダウンタイムを極力最小化する必要があります。
PTAを一台構成とした場合は、AzureADとの接続パスが1つとなり、障害時に認証ができなくなってしまいます。
この対策として、Authentication Agentを一台インストールすることで簡単に冗長化対応することができます。また、Agent側では、ロードバランサーなどは不要です。

各方式の冗長化方式の比較表は以下の通り。

自動フェールオーバーするかしないか、AzureADとの接続パスの状態によりAzureADにサインインできるかが大きなポイントとなります。

◇PTAのインストール方法

最新バージョン（1.1.644.0 以降）のAzureADConnectをインストールします。
Azureポータルの「Azure Active Directory」の「Azure AD Connect」のダウンロードリンクからダウンロードするか、以下のURLからダウンロードします。
http://www.microsoft.com/en-us/download/details.aspx?id=47594