記事本文
こんにちは!平野です。
今回は、AzureADの機能の一つである、プロビジョニングについて説明していきます。
プロビジョニングについての説明は、以下2記事の構成で進めていきます。
- Azure ADとアプリケーションユーザーのプロビジョニングの説明
- Azure ADとクラウドサービス(Box.com)の連携を実践形式で説明
Azure ADとは
Azure AD(Azure Active Directory)とは「様々なクラウドサービスのアカウントを管理するディレクトリ・サービス(ユーザーや紐づく所属・メールなどを管理する機能)」のことです。
昨今では、企業でのクラウドサービス利用が一般的になってきました。
Office365(Microsoft 365)やSlack、Box.comなどはよく利用されているかと思います。
1つのクラウドサービスにつき、1つのアカウント情報をそれぞれ管理するのはとても面倒で、
セキュリティレベルが異なることで、企業での利用が出来ないこともあります。
そのような問題を解決することが出来るのがAzure ADです。
先に説明した通り、様々なクラウドサービスのアカウント情報を一元管理してくれます。
似たような仕組みでActive Directoryというものがあります。
これはAzure ADよりもずっと前からある認証基盤で、主にオンプレミス環境で利用されます。
同じ「Active Directory」という名前がついているため混同しがちですが、別物なので注意してください。
Azure ADはクラウドの管理、Active Directoryはオンプレミスの管理です。
Azure ADには様々な機能(SSO、多要素認証など)がありますが、
今回はAzure ADの機能の1つである、自動プロビジョニングについて掘り下げて解説していきます。
プロビジョニングとは
>自動プロビジョニングとは、ユーザーがアクセスする必要のあるクラウドアプリケーションのユーザーIDとロールを作成することです。
>自動プロビジョニングには、ユーザー ID の作成に加えて、状態または役割が変化したときのユーザー ID のメンテナンスおよび削除が含まれます。
Microsoftドキュメント – プロビジョニングのしくみ
Microsoftの公式ドキュメントから抜粋したアプリケーションユーザーのプロビジョニングに関する説明文です。
これがどういうことを指しているのかを解説していきます。
プロビジョニングを設定していない場合
例えば、ある会社で各部署ごとに以下のクラウドアプリケーションを利用しているとします。
| 部署 | 利用アプリ |
|---|---|
| 営業部 | Slack, Box |
| 開発部 | OracleCloud, Slack |
この会社の営業部にAさんが入社してきました。
通常、Aさんが営業部と同じクラウドアプリを利用できるようにするためには以下手順が必要になります。
- Azure ADへのアカウント登録
- 部署内で利用しているアプリのユーザー作成
単に1人だけのアカウント設定をするなら大した手間はかかりませんが、これが毎年100人200人入社してくる大手企業の場合はどうでしょう。
それぞれの配属が決定してから、それぞれの部署で利用しているクラウドアプリを1人ずつ登録していかなければなりません。
さらに実際の企業では、アプリケーション毎に利用できる機能に制限があったりと、
ユーザー毎によって利用できる幅が複雑化されているケースがほとんどなので、さらに設定に手間がかかってしまいます。
このように、クラウドアプリの認証は部署ごとの設定や利用制限の種類により、ユーザー単位で工数の増加に影響することが分かります。
プロビジョニングを設定している場合
次は、アプリケーションユーザーの自動プロビジョニングを設定している場合の例です。
アプリケーションユーザーのプロビジョニングでは、ロール(役割)というものが設定できます。
以下の表から部署をロールとして設定するとします。例えば、営業部はSlackとBoxを利用します。
| 部署 | 利用アプリ | ロール |
|---|---|---|
| 営業部 | Slack, Box | 営業部ロール |
| 開発部 | OracleCloud, Slack | 開発部ロール |
これで新しく登録するユーザーが営業部であれば、営業部ロールをアカウントに設定します。
そうすることで、営業部ロールに設定されたSlack、Boxのユーザー作成も自動で行ってくれるようになります。
さらに例を上げてみます。
営業部の中でも、ある一定のポジションでないとSlackのチャンネルが作れないとします。
その場合、ロールは以下に分けることができます。
| ロール | 利用アプリ | 機能制限 |
|---|---|---|
| 営業部Aロール | Slack, Box | |
| 営業部Bロール | Slack, Box | Slackのチャンネル作成 |
新入社員のAさんを営業部Bロールに設定することで、Slackのチャンネル作成に制限がかかり、チャンネル作成のできないアカウントを作成することが出来ます。
というわけで、新しく営業部に配属されたAさんのアカウント設定は以下のように手順が短縮されます。
- Azure ADへのアカウント登録(ロール設定込)
ユーザーの登録数やアプリケーションの数、権限の複雑さにより、かなりの工数削減を見込むことが出来そうです。
社員が部署異動や退職した場合にも、プロビジョニングは効果を発揮してくれます。
部署移動の場合は、対象部署のロールに再設定するだけですぐにアプリが使えるようになります。
退職した場合は、ロールに付随していたクラウドアプリのアカウントを自動的に削除してくれます。
自動プロビジョニング可能なクラウドサービスの例
以下はAzure ADで自動プロビジョニング可能なクラウドサービスの例です。
- Box
- Slack
- Dropbox
- OracleCloud Infrastructure Console
- Zoom
- Lucidchart
- G Suite
等々
以下URLを開いて左側にプロビジョニング利用可能なサービス一覧が記載されております。
Microsoftドキュメント
おわりに
いかがだったでしょうか。
プロビジョニングについて少しでも理解が深まったなら幸いです。
次回の記事では、実際にBox.comを例としてプロビジョニングの設定を行いたいと思います。
最後まで読んでいただきありがとうございました。
