Office 365 利用時における認証の強化

～Active Directory、AD FS、Azure AD と電子証明書の連携よる認証強化～

前号では、クラウドサービス利用時における認証の課題解決について、企業で認証情報を管理することができる Active Directory（AD）での認証情報の一元管理について紹介しました。
今号では、具体的にどのような構成で実現することが可能なのかを解説します。

そもそも AD とは、Windows Server ベースのシステムに認証機能を提供しているものです。一度認証すれば、ドメインに参加している社内システムのデータにアクセスする際に、毎回ユーザー名（ID）／パスワードを入力する必要がありません。このことを「シングルサインオン」と言います。

※出典： http://www.atmarkit.co.jp/ait/articles/1404/11/news028.html

社内システム（オンプレミス）のみの認証であれば、AD のみでデータにアクセスすることが可能ですが、クラウドサービスを組み合わせたハイブリットなシステム環境においては、AD の付属機能で Active Directory フェデーションサービス（AD FS）を利用する必要があります。

AD FS を組み合わせることにより、クラウドサービス利用の際にもシングルサインオンを行うことができ、毎回ユーザー名、パスワードを入力する手間を省けます。また、クラウドベースの認証サービスである Azure Active Directory（Azure AD）を活用することにより、クラウド環境のみでアプリケーションへのアクセスの一元管理、シングルサインオンを実現することができます。

出典：http://www.atmarkit.co.jp/ait/articles/1607/21/news020_2.html

Office 365 などのクラウドアプリケーションの利用にあたっては、AD、AD FS、Azure AD を連携することでシームレスなアクセスが可能ですが、課題は ID とパスワードを認証情報として利用していることです。

この課題に対してはデバイス証明書（クライアント証明書）の利用で解決できます。ID とパスワード以外の要素として、デバイス証明書（クライアント証明書）を利用し、特定の端末からのみのアクセスを許可することで、より高いセキュリティを実現できます。

特に、サイバートラストが提供するデバイス証明書発行管理サービス「デバイス ID」では、AD との連携によりクラウドサービス利用時にセキュアなパスワードレスサインインを実現することも可能ですので、認証時の利便性も向上させることができます。なお、デバイス ID は、Windows 10 Mobile をはじめとする Windows プラットフォーム以外に iPhone や Android などのスマートデバイスにも対応していますので、マルチデバイスの環境で運用している場合にも適用させることができます。