Kerberos の制約付き委任
Kerberos の制約付き委任は、Windows Server の機能の 1 つです。この機能を使用するサービス管理者は、アプリケーションサービスがユーザーの代わりに行う処理の範囲を制限することで、アプリケーションの信頼の境界を指定し適用できます。これは、バックエンドサービスに委任できるフロントエンドサービスアカウントを指定する際の役に立ちます。Kerberos の制約付き委任は、任意あるいはすべてのサービスに、gMSA が Active Directory ユーザーに代わり接続することを防止し、承認されていない開発者による不正使用の可能性を排除します。
例えば、ユーザー jsmith が HR アプリケーションにログインする場合を考えます。この時、SQL Server で jsmith のデータベースへのアクセス許可を適用する必要があります。ただし、SQL Server のデフォルトでは、データベース接続を開く際に jsmith で設定済みのアクセス許可を使用せず、(hr-app-service のアクセス許可を適用する) サービスアカウントの認証情報を使用します。HR 給与アプリケーションが SQL Server データベースにアクセスするために、jsmith の認証情報を使用できるように設定する必要があります。そのためには、AWS 内にある AWS Managed Microsoft AD ディレクトリの hr-app-service サービスアカウントに対して Kerberos の制約付き委任を有効にします。jsmith がログオンすると、このユーザー がネットワークの他のサービスへのアクセスを試みた場合に Windows が自動的に使用する Kerberos チケットが、Active Directory から提供されます。Kerberos の委任により、hr-app-service アカウントは jsmith の Kerberos チケットを再利用してデータベースにアクセスできます。つまり、jsmith に固有のアクセス許可を適用してデータベース接続を開くことが可能です。
Kerberos の制約付き委任を設定するアクセス許可を、AWS Managed Microsoft AD のユーザーに付与するには、それらのユーザーのアカウントをセキュリティグループ (AWS Delegated Kerberos Delegation Administrators) のメンバーとして追加する必要があります。管理者アカウントは、デフォルトでこのグループのメンバーになっています。Kerberos の制約付き委任の詳細については、Microsoft TechNet ウェブサイトの「Kerberos Constrained Delegation Overview
リソースベースの制約付き委任
