Azure Active Directoryについてまとめてみた
背景
Azure Active Directory(AAD)を使ったOAuth認証の機能開発をしました。 AADだけでなくMicrosoftのサービス自体に不慣れで、用語の理解に時間がかかりました。 実装を行う上で重要だった用語や概念についてまとめました。
用語の定義
Azure Active Directory
概要
- Azureのサービスの1つで、Azureに契約すると自動で使える
- IDaaSの1つ(SasSの認証基盤)
- ユーザー、アプリケーション、アクセス制御を一元管理できる
ActiveDirectoryとの違い
AAD | AD | |
---|---|---|
サーバ | クラウド | オンプレ |
プロトコル | SAML,OpenIDConnect,OAuth, | kerberos |
ディレクトリアクセス | RESTベースのAAD Graph API | LDAP |
ドメイン | マルチテナント | フォレスト、ドメインという単位 |
cf. 【初心者向け】AzureActiveDirectoryとは何なのか - Qiita
テナント
概要
- グループのようなもの
- 組織内のユーザー・アプリに対してポリシーを設定しセキュリティを高める
- 組織利用のアプリケーションとリソースに対してidとIAMを提供するもの
注意点
テナントは概念が曖昧で、少なくとも以下3つを指すことがある
- MSと契約した企業
- グループ会社を含めた企業全体
- AzureADディレクトリ
cf:
組織アカウントと個人アカウント
組織アカウント
- AADで管理されたアカウント
- MSOffice365のアカウント
- 個人で自由に取得できず管理者に依って作成される
個人アカウント
- MSアカウント
- 個人が任意のemailで作成できるアカウント ※ AADに登録されているメールドメインでは新規取得できない