Microsoft Entra ID を使用した LDAP 認証

  • [アーティクル]

ライトウェイト ディレクトリ アクセス プロトコル (LDAP) は、さまざまなディレクトリ サービスを操作するためのアプリケーション プロトコルです。 Active Directory などのディレクトリサービスによって、ユーザーおよびアカウントの情報、パスワードなどのセキュリティ情報が格納されます。 さらにこのサービスを使用することで、ネットワーク上の他のデバイスと情報を共有できるようになります。 電子メール、顧客関係マネージャー (CRM)、人事 (HR) ソフトウェアなどのエンタープライズ アプリケーションで、LDAP を使用すれば、情報の認証、アクセス、および検索を行うことができます。

Microsoft Entra ID は、Microsoft Entra Domain Services (AD DS) を介してこのパターンをサポートします。 これにより、クラウド優先戦略を採用している組織は、オンプレミスの LDAP リソースをクラウドに移行することで自社の環境を最新化することができます。 すぐに得られるメリットは次のとおりです。

  • Microsoft Entra ID と統合されています。 ユーザーとグループの追加、またはそれらのオブジェクトに対する属性の変更は、Microsoft Entra テナントから AD DS に自動的に同期されます。 オンプレミスの Active Directory 内でのオブジェクトに対する変更は、まず Microsoft Entra ID に、次に AD DS に同期されます。

  • 操作の簡略化。 オンプレミスのインフラストラクチャを手動で保持してパッチを適用する必要性が軽減されます。

  • 信頼性が高い。 管理された高可用性サービスを利用できます。

使用する状況

アプリケーションまたはサービスで LDAP 認証を使用する必要があります。

Diagram of architecture

システムのコンポーネント

  • [ユーザー] :LDAP に依存するアプリケーションにブラウザーを介してアクセスします。

  • Web ブラウザー: アプリケーションの外部 URL にアクセスするためにユーザーが操作するインターフェイスです。

  • [仮想ネットワーク] : レガシ アプリケーションで LDAP サービスを使用するために経由する Azure 内のプライベート ネットワーク。

  • レガシ アプリケーション: LDAP を Azure の仮想ネットワークにデプロイする必要があるアプリケーションまたはサーバー ワークロード、あるいはネットワーク ルートを介して AD DS インスタンス IP を可視化できるアプリケーションまたはサーバー ワークロード。

  • Microsoft Entra ID: 組織のオンプレミス ディレクトリからの ID 情報を Microsoft Entra Connect 経由で同期します。

  • Microsoft Entra Domain Services (AD DS) : Microsoft Entra ID からの一方向の同期を実行して、集中管理された一連のユーザー、グループ、および資格情報へのアクセスを提供します。 AD DS インスタンスは仮想ネットワークに割り当てられます。 AD DS に割り当てられた仮想ネットワークに接続される Azure 内のアプリケーション、サービス、および VM では、共通の AD DS 機能 (LDAP、ドメイン参加、グループ ポリシー、Kerberos、NTLM 認証など) を使用することができます。

    Note

    組織がパスワード ハッシュを同期できない環境、またはユーザーがスマート カードを使用してサインインする環境では、AD DS でリソース フォレストを使用することをお勧めします。

  • Microsoft Entra Connect:: オンプレミスの ID 情報を Microsoft Entra ID に同期するためのツール。 デプロイ ウィザードおよびガイド付きエクスペリエンスを使用すると、Active Directory から Microsoft Entra ID への同期やサインオンなど、接続に必要な前提条件とコンポーネントを容易に構成できます。

  • Active Directory: ユーザーやアカウント情報などのオンプレミスの ID 情報、およびパスワードなどのセキュリティ情報を格納するディレクトリ サービス。

Microsoft Entra ID を使用して LDAP 認証を実装する