このガイドは、アマゾン ウェブ サービス (AWS) を使用していて、Azure に移行したり、マルチクラウド戦略を採用したりする組織を対象としています。 このガイダンスでは、AWS ID 管理ソリューションと同様の Azure ソリューションを比較します。
ヒント
Microsoft Entra ID を AWS に拡張する方法については、AWS の Microsoft Entra ID 管理とアクセス管理に関するトピックを参照してください。
コア ID サービス
両方のプラットフォームのコア ID サービスは、ID とアクセス管理の基盤を形成します。 これらのサービスには、コア認証、承認、およびアカウンティング機能、およびクラウド リソースを論理構造に整理する機能が含まれます。 AWS プロフェッショナルは、Azure でも同様の機能を使用できます。 これらの機能には、実装におけるアーキテクチャの違いがある場合があります。
| AWS サービス | Azure サービス | 説明 |
|---|---|---|
| AWS Identity and Access Management (IAM) Identity Center | Microsoft Entra ID | シングル サインオン (SSO)、多要素認証 (MFA)、およびさまざまなアプリケーションとの統合を提供する一元化された ID 管理サービス |
| AWS 組織 | Azure 管理グループ | 継承されたポリシーを使用して複数のアカウントとサブスクリプションを管理する階層構造 |
| AWS IAM Identity Center | Microsoft Entra ID SSO | ユーザーが 1 つの資格情報セットを使用して複数のアプリケーションにアクセスできるようにする一元的なアクセス管理 |
| AWS ディレクトリ サービス | Microsoft Entra Domain Services | ドメイン参加、グループ ポリシー、ライトウェイト ディレクトリ アクセス プロトコル (LDAP)、Kerberos または NT LAN Manager (NTLM) 認証を提供するマネージド ディレクトリ サービス |
認証とアクセス制御
両方のプラットフォームの認証およびアクセス制御サービスは、ユーザー ID を確認し、リソース アクセスを管理するための重要なセキュリティ機能を提供します。 これらのサービスは、MFA、アクセス レビュー、外部ユーザー管理、ロールベースのアクセス許可を処理します。
| AWS サービス | Azure サービス | 説明 |
|---|---|---|
| AWS MFA | Microsoft Entra MFA | ユーザー サインインに対して複数の形式の検証を必要とする追加のセキュリティ層 |
| AWS IAM Access Analyzer | Microsoft Entra アクセス レビュー | リソースへのアクセス許可を確認および管理するためのツールとサービス |
| AWS IAM Identity Center | Microsoft Entra 外部 ID | セキュリティで保護されたクロス組織コラボレーションのための外部ユーザー アクセス管理プラットフォーム。 これらのプラットフォームでは、Security Assertion Markup Language (SAML) や OpenID Connect (OIDC) などのプロトコルがサポートされています。 |
| AWS Resource Access Manager | Microsoft Entra の役割ベースのアクセス制御 (RBAC) と Azure RBAC | 組織内でクラウド リソースを共有できるサービス。 AWS は通常、複数のアカウント間でクラウド リソースを共有します。 Azure RBAC では、同様のリソース共有を実現できます。 |
ID ガバナンス
セキュリティとコンプライアンスを維持するには、ID とアクセスを管理する必要があります。 AWS と Azure の両方で、ID ガバナンスのソリューションが提供されます。 組織とワークロード チームは、これらのソリューションを使用して、ID のライフサイクルの管理、アクセス レビューの実施、特権アクセスの制御を行うことができます。
AWS では、ID ライフサイクル、アクセス レビュー、特権アクセスを管理するには、複数のサービスの組み合わせが必要です。
- AWS IAM は、リソースへの安全なアクセスを処理します。
- IAM Access Analyzer は、共有リソースを識別するのに役立ちます。
- AWS Organizations では、複数のアカウントの一元管理が提供されます。
- IAM Identity Center では、一元的なアクセス管理が提供されます。
- AWS CloudTrail と AWS Config を使用すると、AWS リソースのガバナンス、コンプライアンス、監査が可能になります。
これらのサービスは、特定の組織のニーズを満たすように調整でき、コンプライアンスとセキュリティを確保するのに役立ちます。
Azure では、 Microsoft Entra ID ガバナンス は、ID ライフサイクル、アクセス レビュー、特権アクセスを管理するための統合ソリューションを提供します。 自動化されたワークフロー、アクセス認定、ポリシーの適用を組み込むことで、これらのプロセスが簡略化されます。 これらの機能は、ID ガバナンスに統合されたアプローチを提供します。
特権アクセス管理
AWS IAM の一時的な昇格されたアクセスは、AWS IAM Identity Center を介して AWS リソースへの一時的な昇格されたアクセスを許可するオープンソースのセキュリティ ソリューションです。 このアプローチでは、ユーザーの昇格された権限は限られた時間内にのみ、特定のタスクに関してのみ効力を持つため、不正アクセスのリスクを小さくすることができます。
Microsoft Entra Privileged Identity Management (PIM) は、Just-In-Time 特権アクセス管理を提供します。 PIM を使用して、組織内の重要なリソースと重要なアクセス許可へのアクセスを管理、制御、監視します。 PIM には、承認ワークフローによるロールのアクティブ化、期限付きアクセス、アクセス レビューなどの機能が含まれており、特権ロールが必要なときにのみ付与され、完全に監査されるようにします。
| AWS サービス | Azure サービス | 説明 |
|---|---|---|
| AWS CloudTrail | Microsoft Entra 特権アクセスの監査 | 特権アクセス アクティビティの包括的な監査ログ |
| AWS IAM とパートナー製品またはカスタム自動化 | Microsoft Entra Just-In-Time アクセス | 時間制限付き特権ロールのアクティブ化プロセス |
ハイブリッド ID
どちらのプラットフォームにも、クラウドとオンプレミスのリソースを統合するハイブリッド ID シナリオを管理するためのソリューションが用意されています。
| AWS サービス | Azure サービス | 説明 |
|---|---|---|
| AWS Directory Service AD コネクタ | Microsoft Entra Connect | ハイブリッド ID 管理用のディレクトリ同期ツール |
| AWS IAM SAML プロバイダー | Active Directory フェデレーション サービス (AD FS) | SSO の ID フェデレーション サービス |
| AWS マネージド Microsoft AD | Microsoft Entra パスワード ハッシュ同期 | オンプレミスインスタンスとクラウド インスタンス間のパスワード同期 |
アプリケーションと API ユーザーの認証と承認
どちらのプラットフォームも、アプリケーション アクセスと API 認証をセキュリティで保護するための ID サービスを提供します。 これらのサービスは、ID ベースのメカニズムを使用して、ユーザー認証、アプリケーションのアクセス許可、および API アクセス制御を管理します。 Microsoft ID プラットフォームは、アプリケーション、API、およびサービス全体の認証と承認のための Azure 統合フレームワークとして機能します。 OAuth 2.0 や OIDC などの標準を実装します。 AWS は、その ID スイートの一部として Amazon Cognito を通じて同様の機能を提供します。
| AWS サービス | Microsoft サービス | 説明 |
|---|---|---|
|
Amazon Cognito AWS 増幅認証 AWS セキュリティ トークン サービス (STS) |
Microsoft ID プラットフォーム | アプリケーションと API の認証、承認、およびユーザー管理を提供する包括的な ID プラットフォーム。 どちらのオプションも OAuth 2.0 と OIDC 標準を実装しますが、アーキテクチャアプローチは異なります。 |
アーキテクチャの主な違い
- AWS のアプローチ: 一緒に構成される分散サービス
- Microsoft のアプローチ: 統合されたコンポーネントを含む統合プラットフォーム
開発者 SDK とライブラリ
| AWS サービス | Microsoft サービス | 説明 |
|---|---|---|
| AWS 増幅認証ライブラリ | Microsoft 認証ライブラリ (MSAL) | 認証フローを実装するためのクライアント ライブラリ。 MSAL は、複数のプラットフォームと言語にわたる統合 SDK を提供します。 AWS では、Amplify を通じて別個の実装を提供しています。 |
| 複数のプログラミング言語用の AWS SDK | 複数のプログラミング言語の MSAL | 認証を実装するための言語固有の SDK。 Microsoft のアプローチでは、プログラミング言語間で高いレベルの一貫性が提供されます。 |
OAuth 2.0 フローの実装
| AWS サービス | Microsoft サービス | 説明 |
|---|---|---|
| Amazon Cognito OAuth 2.0 の許可 | Microsoft ID プラットフォームの認証フロー | 承認コード、暗黙的、クライアント資格情報、デバイス コードなど、標準の OAuth 2.0 フローをサポートする |
| Cognito ユーザー プールの認証コード フロー | Microsoft ID プラットフォーム承認コード フロー | Web アプリケーション用の安全なリダイレクト ベースの OAuth フローの実装 |
| Cognito ユーザー プールの Proof Key for Code Exchange (PKCE) サポート | Microsoft ID プラットフォーム PKCE のサポート | PKCE を使用したパブリック クライアントのセキュリティ強化 |
| Cognito カスタム認証フロー | Microsoft ID プラットフォームのカスタム ポリシー | 異なる実装を使用した認証シーケンスのカスタマイズ |
ID プロバイダーの統合
| AWS サービス | Microsoft または Azure サービス | 説明 |
|---|---|---|
| Cognito ID プロバイダーのフェデレーション | Microsoft ID プラットフォームの外部 ID プロバイダー | OIDC および SAML プロトコルを使用したソーシャル ID プロバイダーとエンタープライズ ID プロバイダーのサポート |
| Cognito ユーザー プールのソーシャル サインイン | Microsoft ID プラットフォームのソーシャル ID プロバイダー | コンシューマー認証のための Google、Facebook、Apple などのプロバイダーとの統合 |
| Cognito SAML フェデレーション | Microsoft Entra ID SAML フェデレーション | SAML 2.0 を使用したエンタープライズ ID フェデレーション |
トークン サービス
| AWS サービス | Microsoft または Azure サービス | 説明 |
|---|---|---|
| AWS STS | Microsoft Entra トークン サービス | アプリケーションとサービスの認証にセキュリティ トークンを発行する |
| Cognito トークンのカスタマイズ | Microsoft ID プラットフォーム トークンの構成 | 要求とスコープを使用した JSON Web トークンのカスタマイズ |
| Cognito トークンの検証 | Microsoft ID プラットフォーム トークンの検証 | トークンの信頼性を確認するためのライブラリとサービス |
アプリケーションの登録とセキュリティ
| AWS サービス | Microsoft または Azure サービス | 説明 |
|---|---|---|
| Cognito アプリクライアントの構成 | Microsoft Entra アプリの登録 | ID プラットフォームを使用したアプリケーションの登録と構成 |
| アプリケーション用 AWS IAM ロール | Microsoft Entra ワークロード ID | アプリケーション コード リソース アクセスのマネージド ID |
| Cognito リソース サーバー | Microsoft ID プラットフォーム API のアクセス許可 | 保護されたリソースとスコープの構成 |
開発者エクスペリエンス
| AWS サービス | Microsoft または Azure サービス | 説明 |
|---|---|---|
| AWS 増幅 CLI | Microsoft ID プラットフォーム PowerShell CLI | ID 構成用のコマンド ライン ツール |
| AWS Cognito コンソール | Microsoft Entra 管理センター | ID サービスの管理インターフェイス |
| Cognito でホストされる UI | Microsoft ID プラットフォーム MSAL UI | 認証用の事前構築済み UI |
| AWS AppSync と Cognito | MSAL を使用した Microsoft Graph API | 認証を使用したデータ アクセス パターン |
プラットフォーム固有の機能
| AWS サービス | Microsoft サービス | 説明 |
|---|---|---|
| Cognito ID プール | 直接同等の機能はありません | AWS リソースに ID をフェデレーションするための AWS 固有のアプローチ |
| 直接同等の機能はありません | Azure App Service Easy Auth の Web Apps 機能 | コードを変更しない Web アプリケーションのプラットフォーム レベルの認証 |
| Cognito ユーザープールのラムダトリガー | Microsoft ID プラットフォーム B2C カスタム ポリシー | 認証フローの拡張性メカニズム |
| Cognito を使用した AWS Web アプリケーション ファイアウォール | 直接同等の機能はありません | アクセス制御のセキュリティ ポリシー |
貢献者
Microsoft では、この記事を保持しています。 次の共同作成者がこの記事を書きました。
主要な著者
- ジェリー・ロード |プリンシパル パートナー ソリューション アーキテクト
その他の共同作成者:
- アダム・セリーニ |パートナー テクノロジーストラテジスト ディレクター
公開されていない LinkedIn プロフィールを見るには、LinkedIn にサインインしてください。
次のステップ
- Microsoft Entra ID の展開を計画する
- Microsoft Entra Connect を使用してハイブリッド ID を構成する
- Microsoft Entra PIM を実装する
- Microsoft ID プラットフォームを使用してアプリケーションをセキュリティで保護する