どうもミツシマです。
以前「(Azure AD)Azure AD Connectを利用して、オンプレADとのユーザー同期・パスワードハッシュ同期を設定する方法を検証してみた」を投稿しましたが、今回はパススルー認証を設定する方法を検証してみました。
では早速検証開始!!
(注)オンプレAD連携用ユーザーに必要な権限を付与するのをお忘れなく!!
違うところと言えばインストールのオプション選択の箇所です。
※オプション選択時の最初のところです。

セットアップが完了するとパススルーエージェント(認証エージェント)というものも一緒にインストールされます。
この認証エージェントがAzureADへのユーザーログイン時要求されたユーザーIDとPWが正しいものであるかオンプレADへと確認し、AzureAD側へ認証応答を返す役割をします。
つまり、パススルー認証はパスワードハッシュ同期と違ってAzureAD側へパスワード情報を持たない仕組みということです。
※詳しくは下記サイトをご参照下さい。
Azure Active Directory パススルー認証: 技術的な詳細
その為、パススルーエージェント(認証エージェント)をインストールしたサーバがダウンしているとAzureAD(Microsoft 365)へのログインに失敗します。
※検証時に表示されたのはこんな画面でした

その為、実環境ではパススルーエージェント(認証エージェント)をインストールしたサーバは最低でも2台以上は構成した方が良いと思われます。
MS推奨は3台以上ですが、、、(汗)
1台目はAzureAD Connectインストール時に同時にインストールされます。
2台目以降はAzureADポータル画面からモジュールをダウンロードしてインストールします。
AzureADポータルの「Azure AD Connect」を開き「パススルー認証」をクリックします。

「ダウンロード」をクリックして、「使用条件に同意してダウンロードする」からエージェントをダウンロードします。

後はダウンロードしたモジュールをダブルクリックしてインストールします。




これでインストール完了です。
「プログラムと機能」を確認するとこんな感じでした。

インストール完了後、先程のAzureADポータル画面を確認すると認証エージェントサーバが2台になっていることがわかります。

これで認証エージェントサーバの冗長化も完了です。
試しに1台目のサーバをシャットダウンさせてもAzureAD(Microsoft 365)へ正常にログイン出来ることは確認出来ました(^o^)
当たり前ですが、オンプレADでユーザーを無効化(ロック)するとAzureAD上でもログインは不可でした。

最後にこの認証エージェントサーバの必要スペック(要件)を調べましたが、正確なスペック等はわかりませんでした。。。orz
ただし以下のサイトを確認すると、4コアCPU・16GBメモリの標準的なサーバであれば1秒あたり300〜400の認証処理が出来るとの記載がありました。
Azure Active Directory パススルー認証:クイック スタート
なので、これを基準にどれくらいのスペックが必要か、また何台くらいのサーバが必要かを見積もるしかなさそうですね(^_^;)
今回の検証もこんなところで終了します。
前回のパスワードハッシュ同期がクラウド上にパスワード情報(正確にはパスワードそのものではないですが)を持つのに対して、パススルー認証はあくまでオンプレADにのみパスワード情報を持つ為、セキュリティ上クラウドにパスワード情報を持たせたくない場合には有効かもしれませんね。
ただ個人的にはクラウド上にパスワードがオンプレにあろうがクラウドにあろうが、リスクとしてはあまり変わらないような気がするので、パスワードハッシュ同期でもいいような気がします。
パスワード情報等は漏れる時は漏れる。
結局この辺りはユーザー教育でカバーするしかない領域だと思うので。。。(^_^;)
以前「(Azure AD)Azure AD Connectを利用して、オンプレADとのユーザー同期・パスワードハッシュ同期を設定する方法を検証してみた」を投稿しましたが、今回はパススルー認証を設定する方法を検証してみました。
では早速検証開始!!
〜検証〜
検証といっても前回パスワードハッシュ同期を設定した際とやり方はほとんど一緒です。(注)オンプレAD連携用ユーザーに必要な権限を付与するのをお忘れなく!!
違うところと言えばインストールのオプション選択の箇所です。
※オプション選択時の最初のところです。

セットアップが完了するとパススルーエージェント(認証エージェント)というものも一緒にインストールされます。
この認証エージェントがAzureADへのユーザーログイン時要求されたユーザーIDとPWが正しいものであるかオンプレADへと確認し、AzureAD側へ認証応答を返す役割をします。
つまり、パススルー認証はパスワードハッシュ同期と違ってAzureAD側へパスワード情報を持たない仕組みということです。
※詳しくは下記サイトをご参照下さい。
Azure Active Directory パススルー認証: 技術的な詳細
その為、パススルーエージェント(認証エージェント)をインストールしたサーバがダウンしているとAzureAD(Microsoft 365)へのログインに失敗します。
※検証時に表示されたのはこんな画面でした

その為、実環境ではパススルーエージェント(認証エージェント)をインストールしたサーバは最低でも2台以上は構成した方が良いと思われます。
MS推奨は3台以上ですが、、、(汗)
1台目はAzureAD Connectインストール時に同時にインストールされます。
2台目以降はAzureADポータル画面からモジュールをダウンロードしてインストールします。
AzureADポータルの「Azure AD Connect」を開き「パススルー認証」をクリックします。

「ダウンロード」をクリックして、「使用条件に同意してダウンロードする」からエージェントをダウンロードします。

後はダウンロードしたモジュールをダブルクリックしてインストールします。




これでインストール完了です。
「プログラムと機能」を確認するとこんな感じでした。

インストール完了後、先程のAzureADポータル画面を確認すると認証エージェントサーバが2台になっていることがわかります。

これで認証エージェントサーバの冗長化も完了です。
試しに1台目のサーバをシャットダウンさせてもAzureAD(Microsoft 365)へ正常にログイン出来ることは確認出来ました(^o^)
当たり前ですが、オンプレADでユーザーを無効化(ロック)するとAzureAD上でもログインは不可でした。

最後にこの認証エージェントサーバの必要スペック(要件)を調べましたが、正確なスペック等はわかりませんでした。。。orz
ただし以下のサイトを確認すると、4コアCPU・16GBメモリの標準的なサーバであれば1秒あたり300〜400の認証処理が出来るとの記載がありました。
Azure Active Directory パススルー認証:クイック スタート
なので、これを基準にどれくらいのスペックが必要か、また何台くらいのサーバが必要かを見積もるしかなさそうですね(^_^;)
今回の検証もこんなところで終了します。
前回のパスワードハッシュ同期がクラウド上にパスワード情報(正確にはパスワードそのものではないですが)を持つのに対して、パススルー認証はあくまでオンプレADにのみパスワード情報を持つ為、セキュリティ上クラウドにパスワード情報を持たせたくない場合には有効かもしれませんね。
ただ個人的にはクラウド上にパスワードがオンプレにあろうがクラウドにあろうが、リスクとしてはあまり変わらないような気がするので、パスワードハッシュ同期でもいいような気がします。
パスワード情報等は漏れる時は漏れる。
結局この辺りはユーザー教育でカバーするしかない領域だと思うので。。。(^_^;)
スポンサードリンク
コメント