今年の年末に読んで、 なるほど~と思った次第。
ID統合と端末管理(デバイスマネジメント)は別々に考えたらすっきりするな、と。
とはいえ、Active DirectoryをAWSとかAzureでいきなり運用するのも何なんで、年末にサーバーを一式買いました。
ID統合と端末管理(デバイスマネジメント)は別々に考えたらすっきりするな、と。
端末もMacが増えているので、グループポリシー適用のためにADを使うよりも、そうした端末ポリシーの適用は、スマートフォンも含めてポリシーが適用できるMDM側で実施する方向に倒しています。 社内LAN撲滅運動 – ISO27001(ISMS)認証を取得しました - サーバーワークス社長ブログ 大石蔵人之助の『雲をつかむような話』
とはいえ、Active DirectoryをAWSとかAzureでいきなり運用するのも何なんで、年末にサーバーを一式買いました。
PCへのインストールは自由だけどいつでも監査されちゃうから変なのは入れないで
PCのローカルアカウントのAdministratorsグループにADユーザを加えておけばオッケー。監査はintuneでやっちゃうぞ~
SaaSとのシングルサインオンどうしたらいいの
いろいろ調べていくと、以下みたいな感じ
- AD FSとAD FS Proxyを立てて、真のSSOを実現
- オンプレミスのADからID情報をクラウド上のID基盤(IDaaSっていうの?IDMaaSっていうの?)へ連携させて、SaaSの認証はクラウド上のID基盤を使う
で、AD->IDaaSへのコネクタとしては、
- Forefront Identity Manager
- ディレクトリ同期ツール(Azure AD専用)
- Windows server 2012 EssentialのOffice365連携(Azure AD専用)
- サードパーティーのソリューション(各社のIDaaS専用)
って感じなのかなー。4の選択肢として、
- One Login(サーバーワークスさんが使ってるやつ)
- Ping Federate
- Salesforce Identify Connect(Integrating Active Directory with Salesforce using Identity Connect)
なんかがあるみたいです。Salesforce IdentifyにADコネクタがあるのか、あとで調べる。
で、今回は、Windows server 2012 EssentialのOffice365連携で、Office365と連携させれば、裏側はAzure ADなんだから、クラウド側の認証基盤としてはAzure ADを使って、Salesforceやらgoogle Appsやらと連携してみようと思う所存です。
こ、これは、Salesforce Identify Connectの人柱にならなければならないのではないでしょうか(笑)
そもそもなんでADいるねん、というのは、クライアントPCのID認証があるからでした。Windows 8だけを考えたら、Microsoftアカウント->Azure AD->SaaSってのもいけるんちゃうかな?そしたらオンプレミスADいらないのでわ。
こ、これは、Salesforce Identify Connectの人柱にならなければならないのではないでしょうか(笑)
そもそもなんでADいるねん、というのは、クライアントPCのID認証があるからでした。Windows 8だけを考えたら、Microsoftアカウント->Azure AD->SaaSってのもいけるんちゃうかな?そしたらオンプレミスADいらないのでわ。
0 件のコメント :
コメントを投稿