ADFS (Active Directory フェデレーション サービス) は、シングル サインオン (SSO) 機能のための マイクロソフトのソリューション です。 このサービスは、Windows Server にユーザーを持つ組織が、組織の外部にある Web ベースのアプリケーションまたはサービスに対して認証と承認を提供するために使用されます。 ADFS は、ユーザーを認証および承認するために、フェデレーション ID とクレームベースのアクセス制御を実装し、セキュリティを維持します。 クレームベース認証は、トークンに含まれる ID に関する情報を含むクレームのセットに基づいてユーザーにアクセスを提供する方法です。
ADFS の内部の仕組みを簡単な例で理解できます。 サーバー上で ADFS をホストする会社 A が、ユーザーの資格情報にアクセスできるものとします。 認証のために ADFS からのアクセス トークンを必要とする他のアプリケーション ‘B’ および ‘C’ に信頼を提供するように構成されています。 ユーザーがブラウザからアプリケーション ‘B’ にアクセスしようとすると、ユーザーがアプリケーション ‘A’ のプロキシ サーバーにリダイレクトされ、そこでユーザーはログインを求められます。 ユーザーが有効なユーザー名/パスワードを入力すると、そのユーザーのアクセス トークンが生成され、トークンと共にアプリケーション ‘B’ にリダイレクトされます。 ユーザーがアプリケーション ‘C’ にアクセスする場合も同じプロセスが発生します。
Azure ADFS が必要な理由
Active Directory (AD) では、ユーザーが外部アプリケーションにアクセスする場合に認証の困難が発生します。 オンラインの世界のこの時代に、ユーザーは、多くの場合、自分の組織が所有していない外部アプリケーションにアクセスする必要性を見つけます。 ADFS が図に入り、これらの外部アプリケーションへのアクセスを提供するギャップを埋めるのはここです。 ADFS を使用すると、組織内のユーザーは、組織と同じ資格情報を使用して組織と統合されたサードパーティアプリケーションにアクセスできます。 ADFS は、次の目的で使用できます。
- シングル サインオン: ADFS を使用すると、組織の AD と同じ資格情報でユーザーをログに記録することにより、サード パーティのアプリケーションまたはサービスへのアクセスをユーザーに提供できます。
- ID およびアクセス管理 (IAM) この機能は、一元化されたポリシーとルールに基づいてアプリケーションへのアクセス制御を提供する基本プラットフォームを支援します。 ユーザーの ID は一元化されており、ID 管理が容易になります。
Azure ADFS を使用するアプリケーションが直面する問題
ADFS は、いくつかの大きな欠点のために、最高の ID または認証ソリューションから遅れています。 ADFS の主な欠点は、インフラストラクチャとメンテナンスのコスト、複雑さ、セキュリティリスクが潜んでいる点です。 ADFS の管理と維持には、莫大な運用コストがかかります。 ADFS サービスを使用するには、コストが発生せず、無料であっても、サービスをホストするには Microsoft Server ライセンスとサーバーが必要です。 ADFS は非常に重要かつ重要なサービスであるため、決してダウンさせてはならないし、認証メカニズムを提供するために高可用性を備えている必要があります。 この ADFS のアーキテクチャを実現するには、それぞれ構成する必要があり、アーキテクチャの複雑さとインフラストラクチャの増加という点で、予想以上にコストが増加する可能性があります。
ADFS を使用するアプリケーションを監視する理由
ADFS は認証および承認サービスを提供します。 また、SSO と IAM も提供します。 これにより、一元化されたポリシーとルールに基づいてアプリケーションへのアクセス制御を行うことができます。 簡単に言うと、IAM は組織のユーザーの詳細、認証、およびアクセス情報を処理します。 ここで、ユーザー数が徐々に増減しても、アプリケーションはユーザーの管理と認証を心配する必要はありません。 SSO と IAM の責任は、ADFS に大きな依存を作成します。 現在、組織は、ADFS 障害のためにユーザーが外部アプリケーションにアクセスできない場合、損失を出すことはできません。
Azure ADFS を使用するアプリケーションを監視する方法はありますか
ADFS は、主に、サーバー上で実行されているインフラストラクチャ、ネットワーク、および ADFS で構成されます。 したがって、ADFS を具体的に監視する必要がある場合は、ADFS がホストされているサーバー ログに記録されたログを確認できます。 ホストされているネットワークが遅すぎないようにして、最適なパフォーマンスで動作していることを確認できます。 また、ADFS がホストされているサーバーに、ADFS サービスを実行するのに必要な十分な CPU とメモリがあることも確認する必要があります。
これは ADFS のみに限定されるため、IAM の目的で実際に ADFS サービスを使用するアプリケーションはどうでしょうか。 ここでは、合成監視が画像に入ってくる場所です。
合成モニタリング
代理監視は、ユーザーをシミュレートすることによってアプリケーションを監視するアプローチです。 この機能により、稼働時間、可用性、パフォーマンスの指標などの情報が提供され、アプリケーション内で行われた重要なトランザクションを監視できます。 Web が作成されて以来、合成監視は行われてきましたが、大小の組織が収益を生み出すために依存する Web アプリケーションが大幅に増え、可用性、稼働時間、パフォーマンスについてこれらの Web アプリケーションを継続的に監視することが重要になっています。 また、現在の顧客は世界中のどこにでも配置できるため、地理的に異なる場所からのパフォーマンスを監視することも不可欠です。
アプリケーション内で IAM Systems を使用する場合、アプリケーションは API を使用して ID プロバイダーに接続し、ブラウザーを介して通信します。 アプリケーションと IAM の間のすべての相互作用は、合成モニタリングを使用して記録および分析できます。 監視ソリューションは、グローバル レベルでのパフォーマンスと可用性を理解するために、地理的に異なる場所から、割り当てられた 1 つのブラウザーまたは複数のブラウザーから、一定の間隔で一緒に実行されるカスタム スクリプトとサーバー呼び出しで構成できます。
ドットコムモニターからの合成モニタリング
Dotcom-Monitorは、ユーザーが最も重要なウェブサイトやアプリケーションを監視するのに役立つさまざまなソリューションと機能を提供します。 EveryStep Web Recorder、設定可能なアラート、リアルタイムレポート、サードパーティ統合などの機能により、アプリケーションが円滑に動作するようにユーザーに必要なツールと情報を提供できます。
- パフォーマンスの問題に対するクイックソリューション:EveryStep Web レコーダーを使用すると、Web アプリケーションのパフォーマンスに関する問題を迅速に検出できます。 ADFS を使用するアプリケーションの場合、このツールは、ユーザーが SSO を使用してログインしようとしたときのユーザー・ステップのスクリプトを記録したり、OAuth トークンが ADFS によって送信される画面を使用して Web アプリケーションをモニターすることができます。 記録されたスクリプトの準備が整ってプラットフォームにアップロードされたら、アラートを受信する別のしきい値を設定できます。 問題に関する詳細なレポートは、ユーザー認証サービスが失敗した場合など、エラーのスクリーンショットやビデオで作成することができ、他のユーザーが同じ問題に直面する前に問題を修復するために組織が迅速に行動するのに役立ちます。
- アラート: さまざまな種類のアラートメカニズムを使用して 、カスタム通知グループを作成および構成 できます。 詳細は確認および検証できます。 問題が発生した場合は、エラーを特定し、問題を通知するために必要な担当者やチームにアラートを送信できます。 アプリケーションがダウンした場合や、ユーザーが繰り返し認証に失敗した場合にアラートを送信できます。 アプリケーションをプロアクティブに監視することで、ユーザーへの影響を最小限に抑えることができます。
- レポート: ユーザーアクションの可視性と知識の獲得。 プラットフォームではさまざまなタイプの レポートを生成でき 、 ダウンタイム/稼働率、応答時間標準偏差、平均応答時間、成功/失敗など、豊富なパフォーマンスデータを提供できます。
- SLA の検証: パフォーマンスダッシュボードやアラートに加えて、プラットフォームは IAM システム別に SLA を検証するためのレポートを提供することもできます。 たとえば、異なる IAM が SLA を優れていると主張していますが、組織は検証せずに単にそれを信頼する方法を教えてください。 簡単な答えは、Dotcom-Monitor は、IAM システムの正確な可用性の割合を示す詳細な SLA レポート を作成することで、組織のためにそれを行うことができるということです。 ドットコムモニターは、サービスプロバイダーがSLAの顧客に対して行うコミットメントを監視し、報告するように設定されています。
結論: Azure ADFS を使用するアプリケーションの監視
Azure ADFS は SSO と IAM の効果的なソリューションを提供するため、組織のユーザーは認証メカニズムの観点から簡単に外部の有用なアプリケーションに簡単にアクセスできます。 したがって、アプリケーションが高可用性を維持し、組織がこのサービスの障害による損失を被る必要がないように、認証目的で ADFS を使用するアプリケーションを 監視 することは間違いなく必要です。
30日間無料で完全なドットコムモニタープラットフォームを試してみてください。
