Azure Administrator (AZ-104)に合格しましたので、覚えた内容を忘れないように、これから少しずつアウトプットしていきたいと思います。
私が勉強に使った教材は、こちらでブログで紹介しています。
にほんブログ村
Active Directory(AD) とは
- AD とは一般的に、Active Directory Domain Service (AD DS) サーバーを指す
- AD DS とは、認証と認可を行うサーバー
- ディレクトリーサービスを提供
認証:
- 「本人確認」のプロセス。
- コンピューターの世界では、ユーザー名とパスワードを使って本人確認を行う。認証を通じて、「なりすまし」を防止する。
認可:
- 「その IDが、サービスやアプリケーションにアクセス可能であるか」を確認するプロセス。
- 認証された IDで、利用できるサービスやアプリケーションの範囲が決定する。
以下、分かりやすく表記するために、オンプレ Active Directoryを AD DS、Azure Active Directory を Azure AD とします。
AD DS と Azure AD の違い
1. 使用範囲の違い
- AD DS(オンプレ Active Directory)は、オンプレミス向けの認証と認可を提供
- Azure AD は、クラウド向けの認証と認可を提供
まず、AD DS とAzure Active Directory は、使用の範囲が異なります。
AD DS は、企業の中で、その企業のリソースを管理したり、認証と認可のために使われます。一方で、Azure AD は、クラウド向けの認証と認可とリソース管理のために使われます。
- 自社データーセンターに AD DS を設置(オンプレミス)
- 大規模拠点にも AD DS を設置するケースもあり
- 自社のサーバー(アプリ)へのアクセス制御
- Azure の自社のテナント上で AD DS を使用(クラウド)
- Azure の自社のテナント上のサーバー(アプリ)へのアクセス制御
- Microsoft 365 などの SaaS アプリへのアクセス制御
2. 使用されるプロトコルの違い
- AD DS は、社内ネットワークで使用され、Kerberos や NTLM を使用
- Azure AD は、インターネット環境で使用され、SAML、WS–Federation、OpenID Connect、OAuth などのプロトコルを使用
AD DS とAzure AD では、認証と認可でしようされるプロトコルが異なります。
AD DS は、組織内で使われることを前提としており、古くはNTLM、今の主流ですと、Kerberos を使って、認証と認可を行います。
一方で、Aure AD はクラウドを前提としており、SAML、WS-Federation、OpenID Connect、OAuth などといったプロトコルを使って、認証と認可を行います。
- オンプレ AD DSでディレクトリーサービスを提供
- Kerberos (古いと LDAP)を使って認証
- ブラウザーでのアクセスを対象
- SaaS アプリにアクセスし、Azure AD で認証
- Azure AD の許可で、SaaS アプリへのアクセス許可を得る
3. 組織構成の違い
- AD DS は、組織を1つのフォレストとし、その中でドメインを構成し、必要に応じてドメイン同士で信頼関係を結ぶ
- Azure AD は、Microsoft が提供するAD DS 上で、組織にテナントが割り当てられる
AD DS ではフォーレストという空間を組織毎にドメインで小分けして管理します。それぞれのドメインは、アクセスが必要であれば信頼関係を結びます。
一方で、Azure AD にはドメインという考え方はなく、代わりにテナントいう考え方になります。1つの組織は1つのテナントとして認識されます。信頼関係という考え方もありません。
- 1つの組織で1つのフォレストを構成
- フォレストの中にドメインを作成
- 必要に応じて子ドメインも作成
- 信頼関係を結ぶことでアクセスの許可
- Azure AD はマルチテナントで動作
- 組織は、Azure AD 上で「テナント」として管理
- 必要に応じて複数のテナントを作成することも可能
- 信頼関係という考え方はない(それぞれが独立したテナント)
Azure AD は、クラウドベースの ID を一元管理し、アプリケーションへのアクセス要求に対して認証と認可を行います。
また、クラウドサービスとして提供されるものなので、当然ながらドメインコントローラーのようなサーバーの展開はありませんし、ドメインコントローラーのメンテナンスも必要なくなります。
- パブリッククラウドを学ぶ
- MS Azure を学ぶ (0) 用語比較
- MS Azure を学ぶ (1) リソースグループの作成と管理
- MS Azure を学ぶ(2)Azure Active Directory とオンプレ Active Directory の違い
合格対策Microsoft認定試験AZ-104:Microsoft Azure Administratorテキスト&演習問題
posted with カエレバ(模擬試験付き)徹底攻略 Microsoft Azure Administrator 教科書 [AZ-104] 対応
posted with カエレバ関連するブログ:
- パブリッククラウドの資格
- AWSを学ぶ(1)VPCを理解しよう
- AWSを学ぶ(2)VPCを作ってみよう
- AWSを学ぶ(3)ゲートウェイとセキュリティーについて
- AWSを学ぶ(4)EC2を理解しよう
- AWSを学ぶ(5)EC2の性能とコストの考え方
- AWSを学ぶ(6)EC2 を使ってみよう
- AWSを学ぶ(7)Route 53 について
- AWSを学ぶ(8)CloudFront って何だろう
- AWSを学ぶ(9)ELB を使ってみよう
最近の人気ブログ TOP 10:
- 夢の国で起きた悲劇 ~ディズニーリゾートで心中した一家~
- 新潟県六日町トンネル内灯油焼殺事件 ~16歳と19歳の恋愛に嫉妬した三十路の暴力団組員~
- 知られざる女子高生コンクリ詰め殺人発覚当時の報道(後編)
- 仙台アルバイト女性集団暴行殺人
- 犬鳴峠リンチ焼殺事件 ~超凶悪少年犯罪~
- 浜田省吾 – 聖地巡礼情報 –
- 浜田省吾ファンからの広島旅行のおすすめ
- 未成年に踏みにじられた25歳の純情 ―実録・おやじ狩り被害―
- R40「城東工業高校のテル」はいま
- 高崎山の王・ベンツ ~ミスターニホンザルの生涯~
最近の記事:
- 列島を凍り付かせた未成年たちの凶行5~ 1988年・名古屋アベック殺人事件~第五話
- 列島を凍り付かせた未成年たちの凶行4~ 1988年・名古屋アベック殺人事件~第四話
- 列島を凍り付かせた未成年たちの凶行3~ 1988年・名古屋アベック殺人事件~第三話
- 列島を凍り付かせた未成年たちの凶行2~ 1988年・名古屋アベック殺人事件~第二話
- 列島を凍り付かせた未成年たちの凶行~ 1988年・名古屋アベック殺人事件~ 第一話
- 最近の推し新人アーティスト
- 1990年・ドラクエ Ⅳ 放火事件 ~ドラクエ熱で焼けた家~
- 目指せ!暴力団構成員 ~1973年・現役ヤクザが熱血指導!~ “暴力団組員養成塾”
- Linux で iSCSI イニシエーター設定 (Ubuntu 編)
- 1954年・日光参道で修学旅行生同士が乱闘 ~広島県立山陽高校vs.青森市立第一高校~