はじめに

どうも、くどうです。
今回は、Microsoft Azure Advent Calendar 2015に参加しています。
内容はAzureADとAWS Directory Serviceを同期するお話しです。
なぜかというと、これまであLDAPベースのDirectory Serviceは提供されていましたが、12/3にAWS Directory ServiceでMicrosoftADがリリースされました。
https://aws.amazon.com/jp/about-aws/whats-new/2015/12/announcing-managed-microsoft-active-directory-in-the-aws-cloud/
これは、クラウド間でのユーザー同期を行う必要がある場合、わざわざADを構築する必要がなくなるということです。便利ですね。

構成

目的:とりあえずAzureADをAWS Directory Serviceで同期してみる。
運用に関しては、未検証なのであしからず。

構成は単純です。
Microsoft Azure Active Directory Connectを利用します。
その為、AWS 側にAzure AD Connectを配置し、オンプレ側のADと見立て同期します。
今回、ドメイン名は、contoso. pwとしています。

以下、構成図。

azureadconnect

  • AWS側
    — AWS Directory Service (MicrosoftAD)
    — EC2 (Azure AD Connect)
  • Azure側
    — AzureAD

AzureアイコンはnrjlogさんのPowerPoint形式ICONを利用しています。
http://zuvuyalink.net/nrjlog/archives/2351

AWSおよびAzureは、事前に基本設定されていることが前提ですのであしからず。

AWS側のAWS Directory Service を立ち上げる

最初に、AWS Direcotry Service よりMicrosofADを立ち上げます。

snip_20151206195917

必要項目を埋める。
Directory DNSはAzureADで利用するドメインにします。

snip_20151206200137

立ち上げます。

snip_20151206200214

AzureADの立ち上げる

AzureADを立ち上げ、ドメインを登録します。

snip_20151206230714

全体管理者でユーザーを作成します。

snip_20151206230739

Azure AD Connectの設定を行う

AWS側に、MicrosoftADと同じ、VPCにEC2インスタンスを立ち上げます。
立ち上げた、EC2インスタンスはドメインに参加しておきます。
Azure AD Connectをダウンロードしインストールします。

snip_20151206231521

カスタマイズを選択します。簡単設定の場合、必要な権限がAWS Directory Serviceでは付与することができないからです。

snip_20151206231540

既存のサービスアカウントを使用します。
サービスアカウント名、パスワードは立ちあげ時に設定したものになります。

snip_20151206232011

必要コンポーネントがインストールされます。

snip_20151206231808

パスワード同期を選択します。

snip_20151206232044

AzureAD側で作成した、全体管理者を指定します。

snip_20151206232122

AWS Directory Serviceのフォレスト、ユーザー名、パスワードを指定、ディレクトリの追加を押下します。

snip_20151206232220

そのまま進めます。

snip_20151206232242

そのまま進めます。

snip_20151206232300

そのまま進めます。

snip_20151206232315

そのまま完了します。

snip_20151206232354

完了されるのを待ちます。完了画面が表示されます。

snip_20151206232502

確認

確認には、ADDS管理をインストールし、AWS Direcotry Serviceに接続しユーザーを確認します。

snip_20151206232445

同期されていること確認します。

snip_20151206232607

以上で同期は完了です。

まとめ

今回は、マルチクラウド、AzureとAWS間でのユーザー同期を実現しました。
これは、BCP対策となるだけでなく、マルチクラウドでのSSOの実現するための一歩になるかと考えています。

今後、FSなどの検証も行っていきたいと思います。
ではでは。

元記事はこちら

Azure ADとAWS Directory Serviceで同期してみよう。