orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

Azure ADが停止すると何が起きるのか

f:id:orangeitems:20200929095423p:plain

 

Microsoftが提供するパブリッククラウド基盤であるAzure。その状態を確認できるステータスページを見ると、Azure Active Directory(通称Azure AD)が警告状態であることがわかります。

警告は、英語で書かれていますが日本語訳すると以下のような感じです。

 

2020/9/29 6:25 JSTごろから、Azure PublicおよびAzure Governmentクラウドの一部のお客様は、Azureポータルへのアクセスを含む多くのMicrosoftまたはAzureサービスの認証操作の実行中にエラーが発生する可能性があります。 エンジニアリングチームは緩和策を適用しており、Azure PublicクラウドとAzure Governmentクラウドの両方のお客様は、現時点で回復の兆しを見るはずです。 次のアップデートは、60分以内に、またはイベントの保証として提供されます。

このメッセージの最終更新日は2020/9/29 9:39 JSTです。

 

日本時間(JST)に時刻を修正してみました。

なお、完全に停止しているというわけではなさそうです。ただ、Twitterを見てみるとかなり広範に影響が出ていることはわかります。

 

さて、このAzure Active Directoryですが、この機能が障害状態になると、どんな影響が出るのかということ。また、普段どんな機能を提供しているのかは、結構有名なので押さえておいたほうがいいかな、ということでご紹介しておきます。

いろいろ読んでみて、最もわかりやすかった記事。

 

cloud.nissho-ele.co.jp

本記事では、Azure環境上に存在する、「Active Directory」関連のサービスや機能を整理し、お客様の今後の社内クラウド化にお役立ていただければと思います。

 

全て読んで理解しましたが、よくあるユースケースでは下記のような使い方をするのではないか、と思いました。

 

① 社内のADを、Azure AD Connectで、Azure ADと連携する。
② 連携したAzure ADを認証基盤として、Microsoft系のSaaS、主にOffice 365やTeamsなどを利用する。
③ 連携したAzure ADを認証基盤として、外部SaaSを利用する。
④ 連携したAzure ADを認証基盤として、ソフトウェアを開発する。

 

まあ、①をせず、独自にユーザー情報を手入力しても良いですが、社内にADがあるのはデファクトスタンダードなので、そうやっている会社は多そう打と思いました。

さて、③、つまり外部SaaSと連携しているケースはどれくらいあるのかなと思い調べてみました。

 

qiita.com

社内でSaaS導入の相談が増えてる。どんなツールが良いかは業務部門の要件次第だけど、利便性とセキュリティ観点から、シングルサインオンは強くおススメしてるのもあって、SaaS導入とSSO導入はほぼセットで相談が来るようになった。ありがたい。

Office365使ってる組織なら、Office365(=Azure Active Directory)とSSOしちゃったら管理もラクになるのでおススメ。でもってAzure ADとSSOの構成は手順通りやれば結構簡単にできるようになってる。

今回はメジャーなSaaS、個人的に注目してるSaaS、一部クラウドサービスのAzure ADのSSO対応と公開されてる手順をまとめてみた。

 

先月の記事なのでありがたい・・。

やっぱり、広範に使っているのだと認識。

これ、便利ではあるのですが、今回のような障害が起こると、業務が止まっちゃうんじゃないかというぐらい影響が起こりそうですね。

 

ちなみに、Azure Active DirectoryのSLAは、

 

azure.microsoft.com

マイクロソフトは、Azure Active Directory Basic および Premium サービスについて、99.9% 以上の可用性を保証します。次のような状況において、このサービスは利用可能であると見なされます。

 

だそうで、99.9%だそうです。

99.9%とは、計算すると、

・年間で 8.76 時間以内の停止
・月間で 43.8 分以内の停止

です。うーん大丈夫か。

 

ということで、私が思うに、認証なんていう一番大事なところを一か所に依存し、複数のアプリケーションを紐づけたりすると、障害が大規模化してしまう。やはり、各システムで独立して認証基盤を持った方がいいんじゃないかなぁと思った次第です。

そりゃ、一か所で済めば便利ですけど、ね。リスクとはトレードオフの関係です。

 

 

ひと目でわかるAzure Active Directory 第2版