テナントメンバーシップに対する理解

テナントメンバーシップとは、アイデンティティプロバイダーのエコシステム内における次の 2 種類の資産間の一方向リンクを表します。

  1. アイデンティティプロバイダーの資産 - ユーザーアカウント、グループ、リソースなど。

  2. 「テナント」資産 - その資産を含む、より広いエンティティまたはドメインを表します。「テナント」の性質は、それぞれのアイデンティティプロバイダーによって異なります。

このテナントメンバーシップは、資産とそのテナントの関係を識別するのに役立ち、資産の編成と階層に関するインサイトを提供します。

資産のテナントへのリンク

Active Directory (AD) の場合、資産は資産の識別名 (DN) を使用してテナント (AD ドメイン) にリンクされます。DN は、ディレクトリ構造内における資産の場所に関する階層情報を提供し、テナントを判別するために使用されます。

テナントの識別

資産が AD オブジェクト (ユーザーまたはグループなど) に相当する場合、そのテナントは次のように識別されます。

  • 資産の識別名を抽出します。

  • DN のドメインコンポーネント (DC) エントリからテナントを識別します。

  • 資産 DN: CN=UserA,CN=Users,DC=tenable,DC=corp

  • テナント: DC=tenable,DC=corp (AD ドメインを表す)

特殊なケース: フォレストルートドメインリンクに対する理解

場合によっては、Active Directory (AD) が特定のオブジェクトを処理する方法が原因で、AD 資産とそのテナント (ドメイン) の関係が、想定される構造に沿っていない場合があります。このセクションでは、このような「特殊なケース」について、より明確に詳しく説明します。

フォレストルートドメインとは

Active Directory フォレストは、階層的に編成された 1 つ以上のドメインで構成されます。フォレストルートドメインは、この階層の最上位のドメインであり、フォレスト内の他のすべてのドメインを含みます。AD 内の一部のオブジェクトは、たとえ異なるドメインに属している場合でも、その識別名でフォレストルートドメインを参照しています。この動作は、テナントの識別方法に影響する可能性があります。

特殊なケースが発生する理由

資産の識別名 (DN) からテナントを識別する場合、通常ドメインコンポーネント (DC=...) が資産のドメインを示します。ただし、次のような例外があります。

  1. フォレスト全体の設定オブジェクト

    • 特定の AD オブジェクトは、特定のドメインではなくフォレスト全体に適用される設定に関連付けられています。

    • これらのオブジェクトには、次で終わる識別名があります。

      • CN=Configuration,DC=...

    • このようなオブジェクトは、「実際の」ドメインではなく、フォレストルートドメインにリンクされます。

  • DN: CN=Configuration,DC=forestRoot,DC=com

  • テナント: フォレストルートドメイン (DC=forestRoot,DC=com)

  1. フォレスト DNS ゾーン

    • 一部のオブジェクトは、フォレスト全体で共有される DNS ゾーンを管理します。それらの識別名は、次で終わります。

      • DC=ForestDnsZones,DC=...

    • これらのオブジェクトは、特定のドメインではなく、フォレストルートドメインに関連付けられています。

  • DN: DC=ForestDnsZones,DC=forestRoot,DC=com

  • テナント: フォレストルートドメイン (DC=forestRoot,DC=com)

これが重要な理由

これらの特殊なケースを理解することは、テナントメンバーシップを正確に解釈する上で極めて重要です。主な影響は次のとおりです。

  1. テナントの識別が想定と異なる場合がある

    • 特定のドメインに属しているように見えるオブジェクトが、実際にはフォレストルートドメインにリンクされている場合があります。

    • Configuration」または「ForestDnsZones」の命名コンテキストのオブジェクトは、その範囲がフォレスト全体であるため、フォレストルートドメインにリンクされます。

  2. 階層と範囲の明確化

    • フォレストルートドメインに関連付けられたオブジェクトは、フォレストレベルで設定を管理または表示するため、多くの場合、より広い適用範囲を持ちます。

  3. トラブルシューティングと監査での使用

    • これらのケースを誤って解釈すると、ドメイン構造の監査時やアイデンティティ関連問題のトラブルシューティングでミスにつながります。

これらの微妙な違いを理解することで、自信を持って検出結果を解釈し、監査やトラブルシューティングのタスクを正確に行うことができます。

Tenable Identity Explorer がルートコンテナ名として「テナント」を選択した理由

「テナント」は、各アイデンティティプロバイダー (IdP) のルートコンテナに付けられる、IdP に固有でない一般的な名称です。「Entra テナント」や「AD ドメイン」などの異なるシステム間で機能します。

テナント」という用語が選択されたのは、アイデンティティ管理において広く理解され、プラットフォーム間で中立であり、Microsoft Entra などの既存の標準にすでに適合しているためです。これにより、多様な IdP 実装を管理するための明確性、一貫性、柔軟性が保証されます。