Microsoft ID プロバイダーの比較
ID プロバイダー (IdP) は、デジタル ID を作成、管理、および格納するシステムです。 Microsoft Entra ID が一例です。 ID プロバイダーの機能とフィーチャーは異なる場合があります。 最も一般的な 3 つのコンポーネントは次のとおりです。
- ユーザー ID のリポジトリ
- 認証システム
- 侵入から保護するセキュリティ プロトコル
ID プロバイダーは、パスワードや指紋スキャンなど、1 つまたは複数の認証要素を使用してユーザー ID を検証します。 ID プロバイダーは、多くの場合、他のリソースにアクセスするためにシングル サインオン (SSO) で使用するための信頼されたプロバイダーです。 SSO を使用すると、パスワードの疲労が軽減され、使いやすさが向上します。 また、潜在的な攻撃対象領域を減らすことで、セキュリティが強化されます。 ID プロバイダーによって、クラウド コンピューティング リソースとユーザー間の接続が支援されるため、モバイルおよびローミング アプリケーションを使用する場合にユーザーが再認証する必要性が軽減されます。
一般的な ID プロトコル
OpenID プロバイダー - OpenID Connect (OIDC) は、(認可に使用される) OAuth2 プロトコルに基づく認証プロトコルです。 OIDC では、標準化された OAuth2 からのメッセージ フローを使用して ID サービスが提供されます。 具体的には、システム エンティティ (OpenID プロバイダーと呼ばれる) は、RESTful HTTP API を介して OIDC 証明書利用者に JSON 形式の ID トークンを発行します。
SAML ID プロバイダー - Security Assertion Markup Language (SAML) は、ID プロバイダーとサービス プロバイダー間で認証および認可データを交換するためのオープンな標準です。 SAML は、セキュリティ アサーション (サービス プロバイダーでアクセス制御の決定を行うために使用されるステートメント) 用の XML ベースのマークアップ言語です。
Microsoft Azure の ID プロバイダーを比較する
Microsoft では、お客様のビジネス ニーズと目標に基づいて ID 用のツールを数種類ご提供しています。 Microsoft Entra ID は、クラウド ベースの ID の開始点になります。 他には、オンプレミスからクラウドに移行する際にサポート機能を提供するサービスもあります。
Microsoft Entra Domain Services | Microsoft Entra ID | Active Directory Domain Services |
---|---|---|
ドメイン参加、グループ ポリシー、LDAP、Kerberos/NTLM 認証など、完全に互換性のある従来の AD DS 機能のサブセットをマネージド ドメイン サービスに提供します。 | Microsoft 365、Azure portal、SaaS アプリケーションなどのリソースに対して、ユーザー アカウント サービスと認証サービスが提供されるクラウドベースの ID およびモバイル デバイス管理。 | ID と認証、コンピューター オブジェクトの管理、グループ ポリシー、信頼などの主要な機能が提供されるエンタープライズ対応のライトウェイト ディレクトリ アクセス プロトコル (LDAP) サーバー。 |
Active Directory Domain Services (AD DS)
ID と認証、コンピューター オブジェクトの管理、グループ ポリシー、信頼などの主要な機能が提供されるエンタープライズ対応のライトウェイト ディレクトリ アクセス プロトコル (LDAP) サーバー。
- AD DS は、オンプレミスの IT 環境を使用する多くの組織で中心的なコンポーネントであり、主要なユーザー アカウント認証機能とコンピューター管理機能が提供されます。
Microsoft Entra ID
Microsoft 365、Azure portal、SaaS アプリケーションなどのリソースに対して、ユーザー アカウント サービスと認証サービスが提供されるクラウドベースの ID およびモバイル デバイス管理。
- Microsoft Entra ID をオンプレミスの AD DS 環境と同期させて、クラウドでネイティブに機能する単一の ID をユーザーに提供できます。
Microsoft Entra Domain Services
ドメイン参加、グループ ポリシー、LDAP、Kerberos/NTLM 認証など、完全に互換性のある従来の AD DS 機能のサブセットをマネージド ドメイン サービスに提供します。
- Microsoft Entra DS は Microsoft Entra ID と統合され、それ自体でオンプレミスの AD DS 環境と同期することができます。 この機能により、ID の一元管理のユース ケースを、リフト アンド シフト戦略の一部として Azure で実行される従来の Web アプリケーションに拡張することができます。