English -> Visit original BeyondTrust page
Active Directory ブリッジング (AD ブリッジング) は、ユーザーが Active Directory (AD) ログイン資格情報を使用して Windows 以外のシステムにログオンできるようにするメカニズムです。
Active Directory は、IT 管理者が IT ネットワークのユーザー、アプリケーション、データ、およびその他の側面を簡単に管理できるようにする Windows ディレクトリ サービスです。ADは、ユーザーの認証とアクセスの承認、情報の管理と保存、ITスタッフによるさまざまなサービスの展開に使用されます。Active Directory は、ID 管理を実現する重要な要素です。
ADブリッジングは、ユーザーがADを使用して自分自身を認証できるようにすることで、ユーザーアクセス管理を簡素化します。 次に、ADブリッジングは、チケットを使用する認証プロトコルであるKerberosというテクノロジーを使用して、そのユーザーを他のアプリケーションやシステムで検証します。
複数のプラットフォームにわたるIDおよびアクセス管理の課題
ADブリッジングを使用すると、ADの複数のシステム(Windows、Linux、Unixなど)から検証済みの安全な認証の詳細を一元化できます。この方法により、全体的なセキュリティが向上すると同時に、いくつかの理由から、複数のシステム間で個別のログインとパスワードを管理するばらばらな方法と比較して、よりシームレスなユーザーエクスペリエンスが提供されます。
- 複数のシステム間でアカウントを個別に同期すると、API やコネクタの障害、ネットワークの遅延、更新の遅延などの問題と衝突する可能性があり、これらはすべてユーザーの不満をかき立てます。
- アプリケーション、ハードウェア、ネットワーク、OSの変更はすべて、パスワードを同期する機能に影響を与え、脆弱性のパッチ適用を複雑にする可能性があります。
- ログイン情報とパスワードをネットワーク経由で送信すると、セキュリティが損なわれる可能性があります。
ADブリッジングにより、IDの統合とアクセス管理がはるかに容易になります。
Active Directory ブリッジングの利点
ADブリッジングは、システム管理者、ITセキュリティチーム、エンドユーザーに次のような多くのメリットをもたらします。
- Windowsログオンを持つ人(おそらく組織内のすべての従業員)はAD資格情報を持っています。これにより、ADはユーザーアカウントの最も信頼できるソースになります。
- 集中管理された各ユーザーアカウントに最小権限アクセスとロールベースのアクセスを適用することができ、これはリンクされたアプリケーション全体に反映されます。
- ADは、IT管理者がアカウントの作成、プロビジョニング、更新、無効化に使用できる集中サービスを提供します。変更は、リンクされたすべてのアプリケーションに伝播されます。
- アイデンティティとアクセスの管理、そしてアイデンティティの統合がはるかに簡単かつ安全になります
- 各ユーザーは一度だけログオンすれば済むため、Windowsログインにさらに強力な認証手順(多要素認証や生体認証など)を導入できます。
- 異なる種類の文字の使用やパスワードのローテーションの義務付けなどのパスワードポリシーを、1か所で定義して実装できます。
- サービスデスクは、1つの集中システムからリンクされたすべてのアプリケーションのユーザーのパスワードをリセットできます。
- ADブリッジは、Linux、Unix、その他のWindows以外のシステム管理者にとって特に便利です。ブリッジング技術により、ユーザーはOSに関係なくアプリケーションにアクセスできます。
- AD ブリッジングは、ID の管理を統合し、ポリシーの適用を合理化することで、ゼロ トラストの実現と迅速化を実現します。
Active Directory ブリッジの仕組み
IT チームが AD ブリッジング (通常は専用の AD ブリッジング アプリケーションを使用) を設定すると、通常は次のように動作します。
- ユーザーは、通常通り、シフトの開始時に標準のWindowsセッションにログオンします。この最初のログオンには、堅牢な認証手順が適用される場合があります。
- ユーザーがリンクされたアプリケーション(Windowsまたは他の環境)にアクセスしようとするたびに、AD Bridgeは集中ADにユーザー資格情報を照会します。
- これらの資格情報が見つかり、ユーザーが承認されている場合、AD Bridgeはターゲットアプリケーションにアクセスを許可するように通知します。
- ユーザーはターゲットアプリケーションにアクセスできる
上記の手順 2 と 3 は、エンド ユーザーにはまったく見えません。このプロセスにより、多数の異なるパスワードを記憶する必要が大幅に減り、生産性とセキュリティが向上します。
Active Directory ブリッジング ソリューションに求められるもの
AD ブリッジング プロセスでは、適切なセキュリティと管理が不可欠です。管理者とエンド ユーザーの両方にとって AD ブリッジングを安全かつ簡単に使用できるようにするために、企業が利用できるソフトウェア アプリケーションがいくつかあります。優れたAD ブリッジング ソフトウェアには、次の特徴があります。
- 安全かつ暗号化された方法で、アプリケーションを集中管理されたADに簡単にリンクできます。
- AD経由でどのユーザーがどのシステムにログオンできるかを定義し、Windows以外のシステムへのアクセスを集中的に制御します。
- 強力なIDアクセス管理機能を提供する。
- シングルサインオン(SSO)ソリューション、多要素認証、その他の認証プロトコルと統合する
- 従業員が資格情報を使用して Unix、Linux、および/または Mac システムにアクセスできるようにする
- ネイティブのグループポリシー管理ツールを拡張して、Unix、Linux、Macの設定を含めることで、一貫した構成を実現します。
- 複数の Active Directory イベントをリアルタイムで監査し、例外を報告し、結果に簡単にアクセスできるようにします。
- 他のセキュリティ管理プロセスやアプリケーションとの統合
- 資格情報の再入力を必要とせずに、デスクトップからリモートマシン、またはシステム間でユーザーを移行します。
- ディレクトリを統合して複雑な環境の管理を簡素化
- 強力な ID およびアクセス管理、および ID 統合機能を提供します。