2017年1月17日火曜日

複数のクラウドサービスの認証をまとめるSAML2.0

企業で必要とされるITサービスは、社内のサーバルームや専用線で繋いだデータセンタで提供されるのが当たり前の時代は終わりを告げ、クラウドで提供されるのが当たり前となりました。そのサービスも多種多様で、クラウドサービスを牽引してきたGoogleやMicrosoftが提供するG Suite、Office365のようなオールインワンと言えるようなサービスから、Salesforce、Dropbox、Box、Slack、Zendeskなど、特定の領域に特化したサービスもクラウドで提供され、その機能は日々高度になり、多様化しています。これらのサービスは、独自にIDとパスワードで認証するだけでなく、認証自体を外部に任せたり、ID、パスワードの管理も外部に任せることができるようになっています。
このように認証やアイデンティティの管理を外部のサービスに任せる理由はどこにあるのでしょうか。また、それを実現するにはどうしたら良いのでしょうか。簡単に整理したいと思います。

 Gluegent Gate

広くニーズをカバーするサービス

クラウドサービスを牽引してきた、GoogleのG Suiteや、MicrosoftのOffice 365は、オフィススイートや、グループウェアといった、多くのニーズを広くカバーしたサービスです。企業によっては、このようなクラウドサービスのみでビジネスをすすめることができるかも知れません。ただ、これらのサービスは多くの企業で利用されるであろう機能を広く提供しているものの、細かなところでは機能不足である場合や、特殊なニーズであるために特定のニーズを満たせない場合もあります。そこで、多くの企業では、満たせないニーズを次のようなサービスを利用しています。

特定のニーズを高度に解決するサービスを併用

Salesforceや、Dropbox、Box、Slack、Zendeskなどのように、特定のニーズを満たすサービスも多くあります。これらのサービスでは、前述した広範なニーズを満たすサービスでは、足りない機能を提供し、同時に連携することで、大きな付加価値を生み出しています。例えば、G Suiteで提供しているクラウドストレージ(Google Drive)では、現場のニーズを満たせないが、Dropboxであれば満足できるというケースや、企業全体では、G Suiteを使いつつ、営業部門では、Saleforceを使い、サポート部門では、Zendeskを使うなどのケースが考えられます。

複数のサービスが混在する

以上のように、クラウドサービスでは、必要なサービスを選んで使うことができます。ですが、それぞれのサービスは、本質的には独自のサービスとして完結しているため、認証の仕組みをそれぞれ持っています。つまりそのまま使うと、システム管理者はそれぞれのサービスでアカウントの管理をし、ユーザはそれぞれのサービスで別々にログインする必要があります。こうなると、複数のサービスが混在することで機能としてはニーズを満たしていても、利用において非常に不便を感じることになります。

認証機能を外部サービスに任せる

各サービスにとっては、認証機能は本質的な機能ではなく、本質的機能を利用させるための機能です。そこで、多くのクラウドサービスでは、認証を外部のサービスに任せることができるようになっています。認証を一元化することでユーザにとっての利便性は大きく向上します。セキュリティの面からも、入り口を一本化することは大きなメリットです。このように、認証を一元化し、単一のログインをもって複数のサービスを利用できるようにすることをシングルサイオン(SSO)と言います。
SSOの環境を構築すると、ユーザにとっての利便性だけでなく、適切なユーザに適切なサービスを利用させたり、利用を中止したり等のサービスの管理が容易になります。入り口を一括して管理できるようになるので、セキュリティレベルの向上にも役立ちます。

SSOの仕様SAML2.0

SSOを実現するための仕様はいくつかありますが、多くのクラウドサービスでは、SAML2.0を採用しています。前述したとおり、クラウドサービスは組み合わせて利用するケースが多く、認証が煩雑になり勝ちです。クラウドベンダーは、自社のサービスが他社のサービスとも併用しやすいように独自の認証機能だけでなく、SSOを実装します。その時の仕様には、他社サービスも利用しているSAML2.0を採用することが多く、SAML2.0がデファクトスタンダードとなっています。

SAML2.0に対応したサービスの認証を担うGluegent Gate

Gluegent Gateは、G Suiteや、Office365、Salesforce、Dropboxなど多くのサービスに対応し、専用の画面を持っていますが、専用として対応していなくても、SAML2.0に対応したサービスであれば「汎用SAMLオプション」を使うことで、認証を統合することができます。


Gluegent GateでSSO環境を構築しておけば、今後採用するサービスでも簡単にSSO配下に加えることができますので、今後拡張性も確保できます。ユーザの利便性と高いセキュリティを同時に満たすGluegent Gateを是非ご検討ください。
 Gluegent Gate