2016年11月29日火曜日

シングルサインオンでクラウド活用の見通しが良くなる

弊社が提供する Gluegent Gate は、シングルサインオン・アクセス制御・ID統合管理の機能を兼ね備えたクラウドサービスです。現在、多くのクラウドサービスが、SAML 2.0 という認証連携の標準規格に対応しており、Gluegent Gate では、この SAML 2.0 という規格を利用して各種クラウドサービスとのシングルサインオンを実現しています。シングルサインオンにより、各種クラウドサービスでの認証を Gluegent Gate に集約し、そこに対してアクセス制御をかけることで、各種クラウドサービス横断的にセキュリティを強化することが可能となります。

今日は、Gluegent Gate のようなシングルサインオンサービスを導入することで、その後のクラウド活用の見通しが良くなる理由をご紹介させていただきます。
す。

 Gluegent Gate

新サービスのアカウント配布が容易

シングルサインオンサービスを導入済みであれば、新しくクラウドサービスの利用を開始する際にも、新たにIDやパスワードをユーザに知らせる必要がありません。ユーザは以前と同じシングルサインオンサービスのログイン画面で、これまでと同じID/PWを入力すれば、新しいサービスにもログインできるためです。

もちろん、ユーザ自身にサービス毎のID/パスワードを管理させる必要もありませんし、一度シングルサインオンサービスにログインしていれば、別のサービスにはログイン不要でアクセスできるため、サービスが増えることによるユーザの負担増もありません。

共通で管理されたアクセス制御

クラウドサービスは、いつでも・どこからでも・どんなデバイスからでも利用できるので非常に便利です。一方で、この点により、常にセキュリティ面での不安が付いてまわります。悪意のある第三者が、何らかの方法でID/パスワードを手にした場合、自由にサービスにログインされてしまうのです。この点を解消すべく、各種クラウドサービスはそれぞれ独自のセキュリティ対策機能を用意しています。あるサービスはSMSや電話による2段階認証機能を提供していますし、別のサービスは一部のIPアドレスからしかログインできないように制御する機能を持っています。クライアント証明書による制御ができるサービスもあれば、セキュリティ面については機能を提供していないサービスもあります。このようにサービス毎に様々な機能が提供されており、それぞれバラバラなのが現状です。

もし、シングルサインオンサービスを導入していなければ、サービス毎にポリシーを決め、それぞれで対応していく必要があります。サービスによっては、期待通りの制御ができないケースもあります。例えば、「基本的にはIPアドレスでアクセスを制御したいが、一部のユーザに限っては社外からでもアクセスできるようにしたい。ただし、社外からアクセスできるのは特定の端末からのみとしたい。」という基本的な要件にさえ、応えられないサービスがほとんどです。セキュリティ関連機能は、本来そのサービスで提供したい機能とは異なるため、どうしても後回しとなります。この結果、最低限の機能提供に留めるケースが多くなるのは仕方がありません。

シングルサインオンのサービスを導入し、そこに集約してアクセス制御を実施しておけば、サービス毎に頭を悩ませる必要はなく、利用するサービスに対して横断的なポリシーでアクセスの制御をすることができます。Gluegent Gate は、シングルサインオンおよびアクセス制御を目的としたサービスであり、まさにそこが機能強化のポイントです。


今後、クラウドを積極的に活用することをご検討されているのであれば、是非グルージェントにもお声かけいただけるとうれしいです。

 Gluegent Gate

2016年11月22日火曜日

Office 365とワークフロー Gluegent Flow の連携

弊社では Gluegent Flow というクラウドワークフローサービスをご提供させていただいております。Gluegent Flow は Office 365 や G Suite と密接に連携する機能を持っており、クラウドならではの利便性を感じていただけるものになっております。今日は、中でも Office 365 と連携・連動する機能についてご紹介させていただきます。


アカウント連携

Office 365 にアカウントがあれば、自動的に Gluegent Flow にもアカウントが作成されます。このため、管理者は Office 365 のアカウントさえ管理すればよく、Gluegent Flow のアカウント管理等の作業は不要です。

認証連携

Gluegent Flow を利用する際に、認証は Office 365 と統合されており、Office 365 にログインした状態であれば、Gluegent Flow にアクセスするだけで、認証された状態となります。Office 365 にログインしていない状態で Gluegent Flow にアクセスした場合は、Office 365 のログイン画面に遷移します。シングルサインオンの設定などがある場合も、シングルサインオンの入り口に遷移する形となります。

組織階層連携

Exchange Online の配布グループやセキュリティグループを、組織階層としてGluegent Flow に自動同期します。 このため、Exchange Online のグループ設定のみで、組織階層を準備することができます。Gluegent Flow は、この組織階層構造によって、承認者や承認者を切り替えるなどの機能を備えており、承認者・決裁者をユーザ自身で選ばせるのではなく、自動的に判別させることが可能となっております。

このように、アカウントや組織関連を自動的に同期させることにより、管理者の手間やユーザの利便性を高めています。まだ、Office 365 の API の安定性・信頼性等の検証を進めている段階ですが、今後も Office 365 との連携を深めていく計画になっております。ご期待ください。




2016年11月15日火曜日

G Suite 導入に合わせて SSO を検討する際の忘れがちなポイント

G Suite や Office 365 などのグループウェアをはじめ、Salesforce などのクラウドサービスの利用を開始するにあたって、アクセス制御を検討されるケースは以前と変わらず多いです。最近はクラウドサービスを複数利用するケースも増えており、パスワード管理等のセキュリティ面、ユーザ利便性等の観点から、アクセス制御に加えてシングルサインオンについてもしっかりと検討されるケースが多くなって来ています。

弊社が提供する Gluegent Gate には、アクセス制御・シングルサインオン・ID統合管理の機能があり、上記のようなご相談を多数頂いております。ここでは、アクセス制御・シングルサインオンサービスを検討する際に忘れてはいけないポイントをご紹介させていただきます。

 Gluegent Gate

できる限り G Suite や Office 365と同時に導入する

現在、G Suite や Office 365 等のクラウドグループウェアの導入を検討されているのであれば、同じタイミングでシングルサインオンのサービスを導入するのが理想的です。ポイントとしては3点あります。

ひとつ目はセキュリティ面からの懸念です。これらのクラウドサービスは、モバイル向けのアプリケーションを提供していますが、アプリケーションのほとんどが、一度認証したらその後は認証なしで永続的にサービスを利用できるようになっています。技術的な言葉で言うと、アプリケーションがAPIアクセスの認可を持ってしまっている状態になります。この状態になると、あとからアクセス制御を導入しても、各アプリケーションの認可の取消をするまでは自由に使えてしまいます。この認可の取消の手間等を考えると、最初から制御しておくことが望ましいです。

ふたつ目は、ID/PWの再配布の手間の問題です。通常、グループウェアから「現在のパスワード」を抽出することはできないため、後からシングルサインオンを導入する場合には、グループウェアとは異なるPWを配布する必要性が出てきます。会社の規模等にもよりますが、管理者・ユーザ含めるとそれなりの手間(コスト)がかかる結果となります。

最後は、ユーザから見た場合の評価の問題です。いくらよりセキュアに・より安全にするためにとはいえ、以前使えていたものが使えなくなるというのは利便性の低下と受け止められます。場合によっては安全面を犠牲にして利便性のみに偏った声に押されてしまい、セキュリティ面での課題を抱えたまま利用を続けてしまうようなケースも出て来てしまいます。

このようなポイントから、クラウドの利用を開始するタイミング、特にグループウェア等の全社的に利用するサービスを導入するタイミングに合わせて、アクセス制御・シングルサインオンを導入するのが望ましいです。

シングルサインオンの対象となるサービスは必ず増える

シングルサインオンシステムの導入により、管理者サイドにもメリットがあります。

今後シングルサインオンの対象となるサービスは必ず増えることを念頭に置く必要があります。この視点を忘れると、いざ対象とするサービスを増やそうとした場合に、思わぬ課題が出て来てしまいます。シングルサインオン対象のサービスの追加は柔軟にできるのか、その際に必要となるコストはどの程度か、この辺りをきちんと整理して理解しておく必要があります。


もちろん、導入時の価格や導入時点で必要となる機能を最低限押さえておくという大前提はありますが、上記のようなことも参考にして検討いただくのが良いと思います。その際には Gluegent Gate も検討リストに加えていただけるとうれしいです。

 Gluegent Gate

2016年11月8日火曜日

Gluegent Flow が G Suite と連携してハッピーなこと

Gluegent Flowは、G Suite や Office 365 と密に連携するクラウド型のワークフローサービスです。導入が簡単、サーバーのメンテナンスが不要、少人数から利用できる価格設定になっている等々、クラウド型サービスならではの様々な強みはもちろんですが、Gluegent Flowは、G Suite と連携する様々な機能により、更なる強みを備えています。今日は、G Suite と連携することで得られるメリットとして、特にお客様から評価いただいているポイントをいくつかご紹介させていただきます。


G Suite と連携するので、ユーザの作成が不要

通常、企業でワークフローシステムを導入する際には、アカウントやパスワードを作成する必要がありますが、G Suite と連携する Gluegent Flowでは、これが不要になります。Gluegent Flow を G Suite にインストールすれば、社内のユーザは、Gmail のメニューやポータルサイトに設置したリンクから、Gluegent Flow にアクセスするだけで利用できる状態になります。OpenID Connect という技術を使い、G Suite アカウントでの認証ができるようになっているためです。

G Suite の組織ごとに、Gluegent Flow の利用の可否を設定することができるので、一部での試験導入もスムースに実現できます。

G Suite のグループで組織階層を定義

ワークフローでは、申請者によって申請経路上の担当者を変えたいシーンがよくあります。例えば、申請者にとっての課長や部長など役職で担当者を指定したいケースです。申請者にとっての上長を判断するためには組織階層が必要となります。Gluegent Flowは、導入されている G Suite 環境の Google グループの情報から組織階層を取得できるようになっており、Gluegent Flow 上で改めて組織階層を定義する必要はありません。管理者は、各組織の役職者を Gluegent Flow に設定しておくだけで、申請者にとっての課長や部長、マネージャといった「ロール(役割)」で経路担当者を割り当てる事ができるようになります。

申請内容の Google スプレッドシートへの書き出し

次に、お客様にご評価いただくことが多い、大変人気の高い機能をご紹介させていただきます。 Gluegent Flow は、ワークフローで申請された内容を、Google スプレッドシートに書き出す機能を持っています。スプレッドシートは、申請書の種類ごとに指定(複数も可能)できるようになっており、抽出された内容をそのまま次の作業に利用することができるようになっています。特定の申請書類の結果を整理するために利用されているケースや、出力内容を別のシートで集計するような形でご利用されているケースなど、様々な使い方をしていただいています。使い方は様々ですが、ワークフローからリアルタイムに出力されるデータを、スプレッドシートの機能を使って利活用できる点を大きな利点としてご評価いただいております。

この他にも、自動的に Google サイトに記事を投稿する機能や、ワークフローに添付されたファイルを自動的に Google ドライブにアップロードする機能など、様々な G Suite 連携機能が簡単にご利用いただけます。現在 G Suite をお使いで、ワークフローをお探しであれば、Gluegent Flow もご検討いただけるとうれしいです。




2016年11月2日水曜日

クラウドはシングルサインオン(SSO)で飛躍的に便利になる

2016年に入り、G SuiteやOffice 365の導入に合わせて、シングルサインオン(SSO)を検討しているというご相談を多くいただくようになりました。以前は、クラウドグループウェアを採用するにあたって「アクセス制御」を実現したいというご要望がベースでしたが、複数のクラウドを利用することを前提とした「シングルサインオン」を実現したいというご要望が強くなってきている印象です。ご利用を想定されているシングルサインオンのターゲットは、G Suite、Office365、Salesforce、Cybozu Office、Kintone など多岐に渡り、100個以上のシステムをSSOにまとめるというようなご提案をさせて頂くようなケースも出てきています。今回は、複数クラウドサービスの利用を検討されている場合に、Gluegent Gate を導入しておくことで得られるメリットを幾つかご紹介させていただきます。
 Gluegent Gate

ユーザの利便性向上

シングルサインオンのシステムを導入するに当たって、当然のご期待になりますが、ユーザに何度もパスワードを入力させたくないし、ユーザに幾つものパスワードを管理させたくないというご期待です。

シングルサインオンシステムを導入することで、ユーザは利用するクラウドサービスごとにIDとパスワードを入力する必要がなくなります。たったひと手間の軽減なのですが、利用するサービスが増えれば増えるほど、このひと手間が面倒になります。

加えて、シングルサインオンを導入することでユーザ自身で管理しなければならないパスワードが限定されます。サービスごとにパスワードを管理し、社内のパスワードポリシーに従って数ヶ月に一度パスワードを変更するとなると、負担が非常に重くなってきます。覚えるにも限界があり、いずれパスワードの使い回しや手帳へのメモ等のセキュリティリスクにつながる可能性があります。

弊社で提供させていただいている Gluegent Gate 等のシングルサインオンサービスを導入し、適切なアクセス制御を行うことで、パスワード管理面での利便性の向上と合わせて、セキュリティの強化が図れます

管理の効率化

シングルサインオンシステムの導入により、管理者サイドにもメリットがあります。

まず目に見えるポイントとして、パスワードリセット等の対応が減らせる、Gluegent Gate のID統合管理機能を活用することで、複数サービスのアカウントやグループ管理が集約できるなど、運用面での負荷軽減があります。運用管理面では、Gluegent Gate の AD 連携機能を利用することで、これまでの管理スタイルを踏襲しながら、クラウドサービスのアカウントも管理するような運用も実現できます。異動や新入社員、退職等が発生した際に、それぞれのクラウドサービスでアカウントの作成や停止をする必要がなくなり、管理コストが軽減できます。

次に、今すぐ必要な内容ではないため忘れられがちですが、実は非常に重要なポイントを挙げさせていただきます。それは将来に渡って新しいクラウドサービスの導入が非常に楽になるという点です。通常新しいシステムを導入する際には、アカウントの追加削除等の運用設計、パスワード変更ルール等の設計、アカウント(ID/パスワード)の配布方法、アクセス制限に関する懸念等々、様々な準備・検討が必要になります。弊社 Gluegent Gate を導入していれば、これらの準備が大きく軽減されます。

Gluegent Gate を導入していれば、Gluegent Gateのアカウントと新たに導入するサービスをどのように連携させるか、という点に絞って検討を進めていただくことになります。簡単には新サービスのアカウントのプロビジョニングの方法、Gluegent Gate と新サービスのアカウントの紐付けなどを検討するのみとなります。管理者側でその設定をしてしまえば、ユーザはこれまで通りシングルサインオンでログインし、新しいサービスにアクセスするだけで利用できるようになります。

もちろん、新しいサービス導入に際して、アクセス制御について頭を悩ませる必要もありません。既存のサービスと同じように Gluegent Gate で管理することができます。


簡単に、ユーザメリットと管理者メリットについてご期待を整理しました。Gluegent Gate を導入頂くことにより、シングルサインオンに加えてID統合管理機能でユーザ・管理者双方の利便性・効率性を向上させながら、アクセス制御によってセキュリティの向上も図れます。シングルサインオンのシステムが無い状態と比べると飛躍的に便利になることがお分かりいただけるかと思います。今後、ますますクラウドを活用したいとご検討されている皆様に、Gluegent Gate をひとつの重要なパーツとしてご検討いただけると嬉しいです。

 Gluegent Gate