« AWS Black Belt Online Seminar 「10 Years of AWS」資料公開 | メイン | Amazon Inspector - 一般利用可能に »

オンプレミスのActive Directoryを使用してRDS for SQL ServerのWindows統合認証を有効にする方法

2016年3月23日に、AWSはAmazon Relational Database Service for SQL Server (RDS for SQL Server)がAWS Directory Service for Microsoft Active Directory (Enterprise Edition)、すなわちMicrosoft ADによる認証をサポートしたことを発表しました。2016年4月7日には、AWSはドメイン信頼関係と条件付きフォワーダの構成を容易にするためのMicrosoft ADの新しいコンソール機能をローンチしました。これらの二つの機能を組み合わせることで、オンプレミスのWindows Active Directoryドメインでユーザーを認証してAmazon Virtual Private Cloud (Amazon VPC)上でSQL Serverアプリケーションを稼働させることができるようになります。さらに、ディレクトリの同期、AWSへのユーザー移行、またはドメイン信頼関係の構成を複数のツールを使用せずに行うことができます。

AWS上でSQL Serverアプリケーションを動作させてオンプレミスのActive Directoryユーザーアカウントによってセキュアにアクセスがしたいのであれば、このブログ記事が最適です。このブログ記事では、RDS for SQL ServerでMicrosoft ADによる認証を有効にしてMicrosoft ADとオンプレミスのActive Directoryとの間の信頼関係を構成するためのステップについて紹介しています。この構成により、SQL ServerデータベースとアプリケーションをAWS上で稼働させて、オンプレミスのActive Directoryユーザーアカウントでユーザーを認証することができます。

 

ソリューション概要

この記事の目的として、すでにActive Directoryをオンプレミスのドメインに使用していると仮定しています。さらに完全修飾ドメイン名(FQDN)とNetBIOS名がなにかについてよく知っていることを前提としています。さらにオンプレミスのMicrosoft SQL ServerまたはRDS for SQL Serverをこのあとで説明するMicrosoft ADによる認証なしに使用している必要があります。

この記事のゴールはオンプレミスのActive DirectoryとRDS for SQL Serverでシングルサインオン(SSO)をすることです。このゴールを達成するために、Amazon VPCでMicrosoft ADを動かして、RDS for SQL ServerでAmazon VPC上のMicrosoft AD認証を有効にして、Amazon VPC上のMicrosoft ADドメインとオンプレミスのActive Directoryドメインとの間で信頼関係を確立する必要があります。信頼関係がないと、オンプレミスのActive DiretoryにログインしたユーザーはAmazon VPCドメインにあるどのリソースにもアクセスする権利がありません。

信頼方向の選択

はじめる前に、Amazon VPC上のMicrosoft ADドメインとオンプレミスのActive Directoryとの間での信頼関係を一方向か双方向にするかを決定する必要があります。信頼関係の方向性はどちらのドメインが他のドメインのユーザーを信頼するかを判断します。

例えば、2つのドメインがあるとします:VPCドメインとオンプレミスドメインです(以下の図を参照してください)。VPCドメインからオンプレミスドメインへの一方向の信頼はオンプレミスのドメインで認証されたユーザーがVPCドメインで信頼される(信頼方向は以下の図で紫の矢印で示されます)ということを意味します。オンプレミスドメインからVPCドメインへの一方向の信頼(信頼方向は以下の図で緑の矢印で示されます)はVPCドメインで認証されたユーザーがオンプレミスドメインで信頼されるということを意味します。双方向の信頼とは実際にはお互いのドメインを信頼する一方向の信頼が2つあるということです。双方向の信頼により、どちらかのドメインで認証されたユーザーは両方のドメインで信頼されます。信頼に関するこれ以上の詳細については、Microsoft TechNetのDomain and Forest Trusts Technical Referenceを読んでください。

一方向または双方向の信頼かを決定するためには、この質問に答えてください:オンプレミスのActive Directoryで管理されているなにかにアクセスする必要があるAmazon VPCドメインの内部で認証するものはありますか?例えば、Amazon VPCドメインのアカウントにログインするサービスまたはユーザーでオンプレミスドメインのプリンターにアクセスする必要のあるものはありますか?もし答えが”イエス”であれば、双方向の信頼が必要です。そうでなければ、Amazon VPCドメインからオンプレミスのActive Directoryへの一方向の信頼を使用してください(最小の権限セットを付与するのが常にベストです)。

信頼のタイプを決定したら、セットアップのステップに移りましょう。

セットアップ

ステップ 1: Amazon VPC上でRDS for SQL Serverをセットアップする

すでにAmazon VPC上でRDS for SQL Serverを動かしていれば、ステップ2までスキップしてください。

Amazon VPC上でRDS for SQL Serverをまだ動かしていなければ、ガイドのCreating a SQL Server DB Instanceを使用して進めてください。そしてステップ2に進みます。

Amazon VPC内ではないところに既存のデータベースインスタンスがある場合は、Moving a DB Instance Not in a VPC into a VPCの手順に従ってインスタンスをAmazon VPCに移行してください。

ステップ 2: Amazon VPC上でMicrosoft ADをセットアップする

Microsoft ADがすでに稼動していれば、ステップ3までスキップしてください。そうでなければ、Microsoft ADを稼動させる必要があります。Microsoft ADドメインのFQDN名とNetBIOS名はオンプレミスの名前とは別のものを選ぶところからはじめます。Amazon VPC上でディレクトリを作成するには、AWS Directory Service for Microsoft Active Directory (Enterprise Edition)のステップにしたがってください。

ステップ 3: RDS for SQL ServerでWindows認証を有効にする

RDS for SQL ServerでWindows認証を有効にするには、Amazon RDS for SQL Server – Support for Windows Authenticationの手順にしたがってください。

ステップ 4: VPCドメインとオンプレミスドメインとの間の信頼関係をセットアップする

信頼関係をセットアップするときに、2つのアクションが必要になります:(1)信頼するドメインを構成します、そして(2)条件付きフォワーダを構成してドメインが適切にリクエストをルートできるようにします。これらの要件を満たす事はややトリッキーでしたが、Microsoft ADのあたらしいコンソール機能により、信頼関係をセットアップするのと同じ画面でこれらの構成を完了できるようになりました。Tutorial: Create a trust relationship between your Microsoft AD on AWS and your on-premises domainはオンプレミスの信頼とMicrosoft ADの信頼を構成するためのステップを説明しています。

完了したら、Directory ServiceのコンソールでディレクトリをクリックしてからTrust relationshipsタブをクリックして構成を確認することができます。以下のようなスクリーンショットと同じようなものが見えると思います:StatusVerifiedになっていると信頼が動作していることがわかります。

おめでとうございます!RDS for SQL ServerでMicrosoft ADによる認証を有効にして、Microsoft ADからオンプレミスのActive Directoryへの信頼をセットアップしました。これでAWS上でRDS for SQL Serverアプリケーションを動かしてオンプレミスのユーザーアカウントで認証できるようになりました。

オンプレミスのSQL ServerデータベースとアプリケーションをAWSに移行する必要があれば、いくつかの関連するリンクが役に立ちます:

この記事についてコメントがあれば、以下の”コメント”セクションに書き込んでください。このソリューションに関して質問や実装上の問題があれば、Directory Service forumの新規スレッドを作成してください。

- Ron(日本語訳はSA渡邉が担当しました。原文はHow to Enable Windows Integrated Authentication for RDS for SQL Server Using On-Premises Active Directory

コメント

Twitter, Facebook

このブログの最新情報はTwitterFacebookでもお知らせしています。お気軽にフォローください。

2018年4 月

1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30