【AWS】Directory Service、SSO徹底解説

AWSのDirectory Serviceには、Simple AD、AD Connector、AWS Managed Microsoft ADの3つの主要なオプションがあります。この記事では、それぞれの特徴、利点、制限事項、適切な利用シナリオを解説しています。さらに、各ディレクトリサービスとシングルサインオン(SSO)との連携方法についても説明しています。
はじめに
本記事では、AWS Directory ServiceのSimple AD、AD Connector、およびAWS Managed Microsoft ADの特徴、利点や制限事項について解説しシングルサインオン(SSO)との連携についても紹介します。
各Directory Serviceオプションについて
Simple ADとは?
Simple ADは、Samba 4を利用して提供される、AWS Directory Serviceの一部です。このサービスは、小規模から中規模の組織、または開発およびテスト環境に最適な、比較的シンプルなActive Directory互換のディレクトリです。
主な機能と利点:
- ユーザーとグループの管理
- ドメイン参加コンピュータの認証
- セキュリティグループとポリシーの基本管理
- ローコストで提供されるため、小規模組織やコストを抑えたい場合に適しています
制限事項:
- Microsoft Active Directoryの全ての高度な機能をサポートしていません
- 大規模な組織や複雑なAD要件には適していません
AD Connectorとは?
AD Connectorは、オンプレミスまたはAWS上の既存のMicrosoft Active DirectoryとAWSリソース間の橋渡しをするプロキシサービスです。このサービスを使用することで、既存の認証情報を用いてAWSサービスへのアクセスが可能になります。
主な機能と利点:
- 既存のAD認証情報を使用してAWSサービスにアクセス
- AWSリソースへのシームレスなシングルサインオンを実現
- オンプレミスのAD環境への変更を最小限に抑えつつ、クラウドリソースへの拡張を可能にします
適用シナリオ:
- オンプレミスのActive Directoryを保持しながら、AWSクラウドへの移行または拡張を計画している企業
- クラウドベースのアプリケーションとオンプレミスのAD環境をシームレスに統合したい場合
AWS Managed Microsoft ADとは?
AWS Managed Microsoft ADは、フルマネージドで本格的なMicrosoft Active DirectoryをAWSクラウド上で提供します。このサービスは、高度なAD機能を必要とする大規模な組織や、複雑なADインテグレーションを実施したい場合に理想的です。
主な機能と利点:
- フルマネージドのMicrosoft Active Directoryの提供
- 複雑なADインテグレーションと高度な機能(グループポリシー、信頼関係など)のサポート
- AWSとオンプレミス環境の間でシームレスな統合を実現
- Office 365やSharePoint OnlineなどのMicrosoftサービスとの高度な統合が可能
適用シナリオ:
- 複雑なAD要件を持つ大規模な組織
- 高度なセキュリティとコンプライアンス要件を満たす必要がある場合
- Microsoftのクラウドサービスと深く統合したい場合

シングルサインオン(SSO)との連携について
Simple ADとSSO
Simple ADは、基本的なActive Directory機能を提供するため、限定的ですが、特定のAWSアプリケーションやサードパーティのSSOソリューションと連携することが可能です。ただし、高度なSSO機能を利用する場合は、他のオプションを検討する必要があります。
AD ConnectorとSSO
AD Connectorを使用すると、既存のオンプレミスのActive DirectoryからAWSクラウドへのシームレスなSSOを実現できます。 これにより、ユーザーは既存のAD認証情報を使用して、AWS管理コンソールや、AWSと連携するサードパーティ製アプリケーションにアクセスできます。このアプローチは、既存のID管理システムを最大限に活用しながら、クラウドへの移行を容易にします。
AWS Managed Microsoft ADとSSO
AWS Managed Microsoft ADは、最も強力なSSOサポートを提供します。このフルマネージドサービスは、Microsoft Active Directoryの高度な機能を活用し、AWSサービス間、Office 365やSalesforceなどの外部サービスとのSSOをサポートします。高度な機能とセキュリティ要件を持つ組織にとって、AWS Managed Microsoft ADは、複数のサービスへのセキュアなシングルサインオンアクセスを実現する最適な選択です。
SSO実装のメリット
- ユーザーエクスペリエンスの向上: ユーザーは複数のパスワードを覚える必要がなく、一度の認証で複数のサービスへのアクセスが可能になります。
- セキュリティの強化: SSOでは、セキュリティポリシーの一貫した適用が可能で、不正アクセスのリスクを低減します。
- 運用の効率化: IT部門は、ユーザーアカウントとアクセス権限を一元的に管理でき、ユーザーのオンボーディングやオフボーディングが容易になります。
終わりに
各Directory Serviceオプション並びに、SSOとの連携はAWSのサービス間やオンプレとのシームレスな統合を実現するために必須要件となっています。本記事が筆者と同じようにAWS SAAを目指している方、業務で使用する方の助けとなれれば幸いです!