はじめに
どうも、くどうです。
今回は、Microsoft Azure Advent Calendar 2015に参加しています。
内容はAzureADとAWS Directory Serviceを同期するお話しです。
なぜかというと、これまであLDAPベースのDirectory Serviceは提供されていましたが、12/3にAWS Directory ServiceでMicrosoftADがリリースされました。
https://aws.amazon.com/jp/about-aws/whats-new/2015/12/announcing-managed-microsoft-active-directory-in-the-aws-cloud/
これは、クラウド間でのユーザー同期を行う必要がある場合、わざわざADを構築する必要がなくなるということです。便利ですね。
構成
目的:とりあえずAzureADをAWS Directory Serviceで同期してみる。
運用に関しては、未検証なのであしからず。
構成は単純です。
Microsoft Azure Active Directory Connectを利用します。
その為、AWS 側にAzure AD Connectを配置し、オンプレ側のADと見立て同期します。
今回、ドメイン名は、contoso. pwとしています。
以下、構成図。
- AWS側
— AWS Directory Service (MicrosoftAD)
— EC2 (Azure AD Connect) - Azure側
— AzureAD
AzureアイコンはnrjlogさんのPowerPoint形式ICONを利用しています。
http://zuvuyalink.net/nrjlog/archives/2351
AWSおよびAzureは、事前に基本設定されていることが前提ですのであしからず。
AWS側のAWS Directory Service を立ち上げる
最初に、AWS Direcotry Service よりMicrosofADを立ち上げます。
必要項目を埋める。
Directory DNSはAzureADで利用するドメインにします。
立ち上げます。
AzureADの立ち上げる
AzureADを立ち上げ、ドメインを登録します。
全体管理者でユーザーを作成します。
Azure AD Connectの設定を行う
AWS側に、MicrosoftADと同じ、VPCにEC2インスタンスを立ち上げます。
立ち上げた、EC2インスタンスはドメインに参加しておきます。
Azure AD Connectをダウンロードしインストールします。
カスタマイズを選択します。簡単設定の場合、必要な権限がAWS Directory Serviceでは付与することができないからです。
既存のサービスアカウントを使用します。
サービスアカウント名、パスワードは立ちあげ時に設定したものになります。
必要コンポーネントがインストールされます。
パスワード同期を選択します。
AzureAD側で作成した、全体管理者を指定します。
AWS Directory Serviceのフォレスト、ユーザー名、パスワードを指定、ディレクトリの追加を押下します。
そのまま進めます。
そのまま進めます。
そのまま進めます。
そのまま完了します。
完了されるのを待ちます。完了画面が表示されます。
確認
確認には、ADDS管理をインストールし、AWS Direcotry Serviceに接続しユーザーを確認します。
同期されていること確認します。
以上で同期は完了です。
まとめ
今回は、マルチクラウド、AzureとAWS間でのユーザー同期を実現しました。
これは、BCP対策となるだけでなく、マルチクラウドでのSSOの実現するための一歩になるかと考えています。
今後、FSなどの検証も行っていきたいと思います。
ではでは。