2024.7.22

ABMで管理対象AppleIDを作成する際にドメイン認証が必要な理由

ABMの管理対象AppleIDは、通常のAppleIDと違って任意の文字列を指定することができません。管理対象IDのドメイン部分が企業を表しているのですが、

このドメイン部分は選択式になっています。上図だと3択。さて、このドメイン一覧の候補はどのように決まるのでしょうか。任意に増やすことはできるのでしょうか?

答えは「ドメイン認証されたドメインだけが候補として列挙され、(ある程度)任意に増やすことができる」です。自由にドメインを指定できるわけではなく、ドメイン認証という手順を経たドメインに限られます。

本稿ではこのドメイン認証が必要な理由について解説します。仕組みや原理を理解した上で作業することが推奨なので独立した解説投稿としています。が、手順だけ知りたい方は後続の投稿を参照して下さい。

順に見ていきましょう。

 

なぜドメイン認証が必要なのか

ドメイン認証とは、管理対象AppleIDに使うドメインがその企業に所有されているかを確認する儀式みたいなものです。

ABMは企業単位に契約するものでした。…ということは、ABMで作成する管理対象AppleIDは、自ずからその企業が管理するものになります。仮に弊社がABMで hoge@feedtailor.jp を作るなら、それは弊社管理の管理対象AppleIDとなるわけです。当たり前のことですね。

アットマーク右側のドメイン表記部分が企業を表してますが、


(管理対象AppleIDのドメイン名部分はリストボックスから選ぶ)

ここが仮に任意のドメイン名を自由に記述できたらどうでしょう。普通はやらないでしょうが、勝手に他社を名乗るような管理対象AppleIDを作れてしまうことになりますね。これはちょっと違和感があります。

読者がもし自社のABMで管理対象AppleIDを作る時に、弊社のドメインである feedtailor.jp を勝手に指定できるのはおかしいわけです。逆も然りで、読者の所属する会社のドメインを、弊社が勝手に管理対象AppleIDのドメイン部分に使えるとしたら「それはやめてくれ」となる筈です。

こうした行為を禁止するため、ドメイン認証が必要になります。自社で認証をクリアしたドメインだけが管理対象AppleIDのドメイン部分として使えるというわけです。自社が所有するドメインであることをAppleに宣言し、それを認めてもらう行為とも言えます。

 

ドメイン認証のからくり

では、あるドメインが自社所有であることを、第三者に詐称されることなく、どのようにAppleに証明しましょうか。「ドメイン保有証明書」のような書面をドメイン業者の印鑑付きで発行して貰って、 Apple に送りましょうか?

もちろん…そんなことは不要です。実はドメインの仕組みを使えば、簡単にその所有者であることを証明することができます。理屈はこう。

  1. ドメインは企業が所有している筈のものである
  2. ならば、そのドメインの設定は当該企業にしか行えない筈である
  3. Appleは当該企業向けに特別な合言葉を用意する
  4. 企業はその合言葉をドメインに設定する
  5. Appleはその合言葉を設定できたかどうかドメインの設定を調べる
  6. 合言葉が設定されていれば、そのドメインが当該企業の所有であると断定する

図にするとこんな感じです。

企業の関係者しか触れない筈のものを触らせてみて、実際に触れていることが明らかなら企業の所有物だと判断するわけですね。

 

Appleがドメインの設定確認?どうやって?

先述の手順5.にある「Appleは(中略)ドメインの設定を調べる」が気になったでしょうか?Appleがどうやってウチのドメインの設定値を調べられるのだろう?管理画面のログイン情報を伝えるのか?と。

実は、ドメインの設定は所有者にしかできない一方で、設定値の確認は誰にでもできます。ABMを操作する管理部門担当者の方には馴染みがないと思いますが、ドメインを調べる無償のツールやサービスは多々あります。

以下は弊社の feedtailor.jp ドメインのTXTレコードを調べた様子。TXTレコードとは、ドメイン所有者が任意の文字列を設定できるフィールドです。


(ドメインさえ分かればその設定は誰もが自由に閲覧可能。上図は Linux の dig コマンドを使っている様子)

例えるなら、法務局で誰でも取得できる登記簿謄本(履歴時効全部証明書)のようなものと言えます。分かる人なら誰でも企業情報をある程度入手できますよね。ドメインも一緒です。見ようと思えば誰でも見れるのです。

「所有企業だけにしか触れない、でもAppleはいつでも確認できる」

その要件にピッタリ合うのがドメインの設定だというわけですね。中でもTXTレコードと呼ばれる設定領域は、自由なテキストを設定できる領域です。ここが大変都合がいいのですよね。


(AWS Route53 から。TXTレコード以外にAやMX,CNAMEなど色々と種類がある。ドメイン認証ではTXTを使う)

ちなみにこのドメイン認証。ABMでのみ使われる特別な方法というわけではなく、インターネットの世界でドメイン所有を確認する一般的な方法です。例えば、httpsに必要なサーバ証明書を取得する時に利用されることもあります。

 

以上、ABMで必要となるドメイン認証が必要な理由、そしてドメイン認証のからくりについて解説しました。原理ができたところで、次回はABMでのドメイン認証の具体的手順を紹介したいと思います。

logo
本サイトはACNメンバーの(株)フィードテイラーが運営するエンタープライズiOS情報サイトです

最近の投稿