Azure ADをIDaaSとして活用し、SSOを実現する認証システムを構築する企業が増えています。Azure ADを用いるメリットは複数ありますが、その1つはAzure AD Application Proxy（以下、Azure AD アプリケーション プロキシと表記します。）を使用して、オンプレミスシステムにSSOができるところです。今回はAzure AD アプリケーション プロキシについてご説明します。

Azure ADをIDaaSとして活用する他のメリットや課題については、以下の記事をご覧ください。
「Azure ADでSSOを実現するメリットや課題とは」

Azure AD アプリケーション プロキシとは

Azure AD アプリケーション プロキシは、オンプレミスのシステム・アプリケーションを社外に公開することができます。公開した社内アプリケーションはAzure ADで認証を行うため、Azure ADを介して使用するクラウドサービスと同じ使用感で、利用することができます。ただし、アプリケーション プロキシの利用には、Azure AD Premium P1（Microsoft Business PremiumやMicrosoft365 E3）以上のライセンスが必要です。

Azure ADのプランに関する詳細は、こちらの記事をご覧ください。
「Azure ADのプランを比較！詳しい機能なども併せて解説」

公開できるアプリケーションの種類

Azure AD アプリケーション プロキシは、以下の4つの認証方法のWebアプリケーションを公開できます。そして、公開したアプリケーションは、Azure ADによるSSOを実現できます。

1. パスワードによる認証

システムにログインする際に、通常のIDとパスワードで認証するシステムに対応しています。多くの企業が持っているオンプレシステムはこれに該当します。

2. SAMLによる認証

SAMLに対応している社内アプリケーションにも対応しています。しかし、オンプレシステムでSAMLに対応しているケースは稀ですので、あまり気にしなくても良いでしょう。

3. 統合Windows認証

レガシー方式の認証方法です。アクティブなWindowsドメインセッションと、Internet ExplorerまたはMicrosoft Edgeを使用して、HTTP通信を行う際に、利用者の認証を行えるものです。

4. ヘッダーベースによる認証

こちらもレガシー方式の認証方法です。ユーザーが使用するブラウザのHTTPヘッダーに個別のデータを挿入し、それをもとに認証しています。

Azure AD アプリケーション プロキシのメリット

ここまで概要についてご説明しました、Azure AD アプリケーション プロキシを使用するメリットは2つあります。それぞれのメリットについて詳しく見ていきましょう。

場所や時間を問わない働き方の推進

利便性を維持したまま、社内のアプリケーションを社外からもアクセスできるようになります。これによって、社員は社外から働くことも可能になります。
コロナ禍で、多くの企業でリモートワークが進みましたが、VPNを使用したアクセスは遅延しやすい、VPNへの追加投資は効果が悪いなど、様々な課題点が浮き彫りになりました。VPNの使用で、ユーザーの利便性や生産性を欠いてしまった企業も多いです。
アプリケーション プロキシの利用によって、エンドユーザーの利便性を向上させることで、生産性向上にもつながるため、大きなメリットと言えるでしょう。同時に、リモートワークやワーケーションといった働き方改革にもつながります。

セキュリティの強化

境界防御型のVPNから、ゼロトラスト型のアプリケーション プロキシに移行することで、オンプレシステムのセキュリティを引き上げることができます。Azure ADの従来の認証だけでなく、多要素認証やアクセス制限を活用できるためです。これによって、企業の情報資産の保護にもつながります。

ゼロトラストについての詳細は以下の記事をご覧ください。
「ゼロトラストモデルとは」

Azure AD アプリケーション プロキシのデメリット

アプリケーション プロキシには、もちろんデメリットも存在します。ここでは、2つのデメリットについてご説明します。

Azure ADの価格

まずは、価格がデメリットとして挙げられます。Azure AD アプリケーション プロキシを使用するためには、Azure AD Premium P1またはP2のライセンスが必要です。Azure AD Premium P1のライセンス価格は、ユーザーあたり月額820円と安くありません。ただし、Azure ADの他の機能である、多要素認証やアクセス制限などを活用できる環境であれば、効果に見合った価格とも言えるでしょう。

運用を自社で行う必要がある

2つ目の課題として、Azure AD アプリケーション プロキシの運用を自社で行う必要があることが挙げられます。継続的な運用を行うためには、ノウハウを持つ人を採用し、管理してもらう必要があります。そのため、Azure AD以外の費用負担が必要になります。そして、管理者の負担は重い状態が継続してしまいます。導入後の運用について、導入段階からしっかりと検討しておく必要があるでしょう。

まとめ

Azure AD アプリケーション プロキシの概要と、活用する際のメリット・デメリットをご紹介しました。エンドユーザーの利便性やセキュリティ強化は、非常に嬉しい効果を享受できます。しかし、価格や運用におけるデメリットも存在します。かもめエンジニアリングでは、Azure AD アプリケーション プロキシと同様の機能を備えた、ゼロトラスト接続サービスKeygatewayC1を提供しております。アプリケーション プロキシにはない機能も備えており、Azure ADと連携した認証システムを構築した実績もございます。ご興味ある方はぜひ以下のお問い合わせフォームよりご連絡ください。