Azure ADをIDaaSとして活用して、SSOを実現する企業が増えています。一般的なIDaaSの機能に加えて、多要素認証やアクセス制限、アプリケーション プロキシを活用したオンプレミスシステムへのSSOなど、様々な機能があり、非常に利便性の高いIDaaSとして利用できます。また、SAMLに対応していないクラウドサービス（SaaS）への認証についても、Azure ADで設定できます。今回は、SAML非対応のSaaSにAzure ADでSSOする方法についてご説明します。

Azure ADをIDaaSとして活用するメリットなどの詳細は、以下の記事をご覧ください。
「Azure ADでSSOを実現するメリットや課題とは」

Azure ADにおけるSSOの方法とは

まずは、Azure ADのSSOの方法についてご説明します。方法の種類として、大きく3種類あります。

フェデレーション認証

クラウドサービスの普及によって注目されている認証方式です。異なるドメイン間でも直接IDやパスワードなどの情報を渡すことなく、共通のプロトコルでやりとりすることで、SSOを実現しています。Azure ADでは、SAMLやOpen ID Connectを使用したフェデレーション認証を利用できます。

認証方式に関する詳細は、以下の記事をご覧ください。
「SSOの仕組みと認証方式を解説」

フォーム認証（パスワードベースのSSO）

連携先のWebアプリケーションがSAMLなどのフェデレーションに対応しておらず、ユーザー名とパスワードで認証する方式の場合に利用できます。認証方式としては、代理認証を採用しています。

アプリケーション プロキシ

オンプレミスのアプリケーションを社外に公開できる機能です。単純にSSOを実現するだけでなく、社外からセキュアなアクセスも可能にします。そのため、セキュリティを高めつつ、場所を問わない働き方の推進にもつながります。

Azure AD アプリケーション プロキシの詳細は、以下の記事をご覧ください。
「Azure AD アプリケーション プロキシのメリットや欠点とは」

Azure ADでフォーム認証を利用するには

設定に際して、2つの用意が必要です。
1つ目は、Azure ADに「独自のアプリケーション」として登録することです。リンクを設定し、代理認証ができるようにします。
2つ目は、使用するブラウザに「My Apps Secure Sign-in Extension」という拡張機能を入れることです。この拡張機能を入れないと、サインインできないので、注意が必要です。
以上の2つの設定だけで済むため、非常に簡単にできる上に、Azure ADのポータルをクリックするだけで、そのアプリケーションを利用できるようになります。

参考：Microsoft社「パスワードベースのシングルサインオンをアプリケーションに追加する」

Azure ADのフォーム認証を使用するメリットとは

前述の通り、フォーム認証を使用することで、SAMLなどフェデレーションに対応していないSaaSに対して、SSOができるようになります。最近、SAMLに対応しているクラウドサービスは増えていますが、国産のクラウドサービスではSAML対応が進んでいません。そのため、フォーム認証を活用することで、認証システムを一元化できるという非常に大きなメリットがあります。
また、これ以外にも2つのメリットがあります。

セキュリティ性が高い

1つ目のメリットとして、セキュリティ対策が万全であることです。Azure AD自体に付属している、多要素認証やアクセス制限を利用できます。そのため、各々のアプリケーションで設定していた部分を削減することもできます。

多要素認証の詳細は、以下の記事をご覧ください。
「多要素認証（MFA）とは｜メリット、デメリットについて解説」

パスワードの流出を防げる

もう1つの大きなメリットとして、ユーザー側でIDやパスワードを管理しないため、パスワードの流出が抑えられることが挙げられます。つまり、管理者側でIDやパスワードを管理する体制に移行します。その際、パスワードを管理するサービスを利用していれば、ID管理にかかる手間を減らすことができるため、効率化が進みます。

Azure ADのフォーム認証を利用する際のデメリットとは

メリットがある一方で、フォーム認証を利用するデメリットも、もちろんあります。ここでは、2つのデメリットについてご説明します。

認証ログが残らない

フォーム認証でアプリにサインインしても、認証ログが残りません。IT統制が必要な現在において、ログの管理が一元化できない点についてはデメリットになります。その理由としては、対象のアプリから情報が漏洩した場合に、原因を究明しにくくなるからです。さらに、ログの記録や保持、定期的な監査の際にも手間がかかり、非常に不便です。

ユーザー数に制限がある

非常に便利なフォーム認証ですが、48人までしか登録できないというユーザー数の制限があります。よって、49人以上を登録することはできません。そのため、49人目以降を登録するためには、わざわざ異なるアプリとして設定する必要があります。もし、従業員数が多い企業で登録しようとすると、設定や運用面において大きな負担となってしまいます。

参考：Microsoft「パスワードベースのSSOアプリに別のユーザーを追加できない」

まとめ

Azure ADのフォーム認証の概要やメリット、デメリットなどをご紹介しました。フォーム認証を活用することで、認証システムを一元化できるようになる利点は非常に重要です。しかし、運用や統制面に関するデメリットも存在します。メリットとデメリットのバランスを考え、Azure ADのフォーム認証を使用するかどうか、検討すると良いでしょう。かもめエンジニアリングでは、フォーム認証の代わりとして活用できるKeygatewayT1やID管理クラウドサービスKeyspiderなどを提供し、Azure ADを中心とする認証システムの構築に携わっている実績があります。ご興味がある方は、ぜひ下記のお問合せフォームよりご連絡ください。