クラウド時代のID管理

ここ最近、色々な場面で「クラウド時代のID管理」について考える場面が多くあります。

それこそ、Azureの管理ポータルに権限をつけるときに…という話もあれば、Onenoteでドキュメントを共有するときにも、プログラムからクラウドサービスを叩くときにも…。IDですからいつでも、どこでも、何にでも、という感じです。

私はWindows系のシステムを触ることが大半なので、オンプレミスではAciveDirectoryがあり、関連しステムはすべて同一のフォレストに所属している…という中で、IDやグループ周りの登録、管理、メンテナンスなどはすべてADで一括管理され、それをすべてのシステムで利用することができるのがほぼ当たり前の状況でした。

下手にシステムごとや組織ごとに別フォレストを作ってしまって、後から統合しようとして四苦八苦しているところもあり、統合されて管理されていることの重要性を強く感じます。(政治的に難しくて…というのもよくある話ではありますが)

この、当たり前だった前提がクラウドサービスを色々と利用していく中で相当崩れてきている組織が多いことを実感しています。クラウドサービスでオンプレミスのID, グループを直接利用できるわけないですからね。

せっかくオンプレミスでIDを一元管理していたのに、クラウドサービスを利用するためにあちこちで個別に管理をしだしてしまうのははっきり言って悪手だと思ってます。きちんとクラウドサービス群から使えるクラウド時代のID管理ポイントを作成し、そこを中心に据えるべきだと思います。そして、オンプレミスでこれまでID管理をしてきたものとそれとは同一であるか、そうでなければシームレスに同期されるべきです。

この文脈で登場するのはMicrosoftの場合にはAzure Active Directoryです。オンプレミスのADと同期するツールまで無償提供されているし、O365などのMicrosoftの様々なクラウドサービスを利用しようとすると勝手に利用する形になっており、Microsoft のうまさを感じます。もちろんAADじゃなきゃいけないわけではないですが、Microsoft 系のシステムで固めているのであれば有力な選択肢になると思います。

でも、残念なことにO365を利用するにあたってわざわざ別のフォレストを新規に作成して、そことAzure Active Directoryを同期させるような構成をとってしまっている組織が結構あるらしいという話が聞こえてきてます。

様々な利用からそうしてしまいたくなる気持ちはよくわかるのですが、後になってより大きな問題となってしまう可能性は非常に高いと思うんですよね。もちろん状況次第なのですが。ここのところはしっかりと先を見据えた構成が必要だと思います。