2017年8月29日火曜日

Googleで便利な全社ポータルサイトを実現するためのポイント

 オンプレミス向けグループウェアを利用しているお客様がクラウドサービスであるG Suite(旧Google Apps)への移行を検討する際、ログイン時に一番最初にアクセスさせたい全社ポータルサイトをどう実現するか、という課題があります。 G Suiteでポータルサイトを構築する場合、最も手軽にできる方法がGoogleサイトを利用することですが、標準機能だけでは実現することができず、従来利用していたグループウェアと比べて見劣りしてしまいます。 この課題に対して、弊社ではGluegent Gadgetsによるポータルサイトの構築をご提案させていただいております。Gluegent Gadgetsを利用することで、Googleサイト上に既存グループウェアのポータルで表示していたコンテンツに近い形で構築することが可能です。 
 今回は、全社ポータルサイトをGoogleサイトで実現しようとする場合に挙がってくるご要望毎にGluegent Gadgetsのどのガジェットを利用するのが良いか、サンプル画面を交えてご説明していきたいと思います。

全社ポータルサイト構築によくある要望と対応ガジェット

  以下、Googleサイトで全社ポータルサイトを実現しようとする場合に出てくる要望と対応したGluegent Gadgetsを表形式でまとめてみました。
要望
Gluegent Gadgetsのガジェット
説明
新着メールや直近の予定を確認できるようにしたい
未読メール
未読メールを表示するガジェットです。スター付き、重要、チャット等のラベルに振分けられている未読メールをタブ表示することができます。メールの詳細は該当メールクリックすることでGmailを起動し、そこで確認できます。
カレンダー
ユーザ/カレンダーリソースのGoogleカレンダーを指定した期間で表示するガジェットです。表示は、開始日(曜日)を変更することができる他、ま表示日数を1〜7日、2〜5週間、半年、1年のいずれかに設定できます。
全社向けまたは部署毎に周知したいお知らせを表示したい
流れる文字
ちょっとしたメッセージを社内で周知したいときに、横に流れる動きでユーザーの注目を集めることができるメッセージ用ガジェットです
掲示板
高機能な掲示板ガジェットです。記事検索、既読管理、予定公開等、企業内で掲載する情報を適切に管理・閲覧できます。
お知らせ
既にGoogle サイトのお知らせページを利用している場合は、各サイトに散らばったお知らせページを集約し、新着順に表示させることができるガジェットです。キーワードによる絞り込み表示も可能です。
行き先予定や伝言メモを管理したい
行動管理
ホワイトボードの行動予定表や不在時の伝言メモを管理できるガジェットです。簡単なタスク管理にもご利用いただけます。
社内規定等の文書を掲示したい
ドライブ
Google Driveの特定フォルダ配下をツリー/一覧表示できるガジェットです。ドキュメント名をクリックするとGoogle Driveで表示することができます。キーワードによる検索も可能です。

Gluegent Gadgets を用いた全社ポータルサイト構築例

以下にGluegent Gadgetsで構築した全社ポータルサイトのサンプルを示します。まず、ポータルサイトのページ前半部分から見ていきます。


ポータルサイトのページ前半部分では、タブ・アイコンはGoolgeサイトの標準的な機能で構成していますが、それ以外は全てGluegent Gadgetsを利用しています。
ポータルサイトでは通常画面上部に未読メール、カレンダー、ワークフローのタスク状況、掲示板ガジェットを配置します。
※ワークフローのタスク状況ガジェットはGluegent Flowに備わっているガジェットであり、Gluegent Gadgetsには含みません。 

これにより、メールおよび社内通知といった新着情報や、本日のTo Doタスクについて、アクセス後すぐ確認できるようになることで、今やるべき作業が明確化される上、情報確認の漏れも防止できるようになります。
なお、掲示板ガジェットでは未読記事は太字で、また重要記事は赤色で強調表示されるため、確認漏れの抑制が期待できます。

続いて、ポータルサイトのページ後半部分です。
上図では再度カレンダーガジェットを用いていることがお分かりかと思いますが、これはユーザ自身の1週間分の予定を表示することで直近の予定として何があるか常に把握できるようにしています。また、別タブでは会議室等の施設予定も確認できるようにしています。ミーティング等を行う際に、会議室等のミーティングスペースの場所取りは重要です。Googleカレンダーよりも直感的に施設状況が確認できることからお客様からも好評です。
その下には行動管理ガジェットにより、同僚の在席状況が閲覧できるようにしています。
ページ最後には、社内規定や標準資料を掲載したいドライブガジェットを配置しています。Googleサイトのファイルキャビネット機能を利用するケースもあるかと思いますが、保管できる容量に制限がある他、管理が面倒になりがちです。 Google Driveで文書管理を行い、その一部をドライブガジェットを通じて共有することで、容量も気にすることなく、管理作業もシンプルになります。


以上、Gluegent Gadgetsにより全社ポータルサイトをどのように構築できるかご説明してきましたが、いかがだったでしょうか。G Suiteではオンプレミス型グループウェアのようなポータルサイトが難しいのでは?とお考えの方もぜひご検討いただければと思います。また、既にG Suiteをご利用いただいている方の場合、様々な情報が1ページに集約できることでg情報を漏れなく確認することができるため、ぜひお試しいただければと思います。

参考:





2017年8月22日火曜日

なぜ、「SSO」と「アクセス制御」、「ID管理」を組み合わせるのか?

Gluegentでは、シングルサインオン機能を提供するサービス Gluegent Gate を提供しています。Gluegent Gateは、同時に、対象サービスに対して「アクセス制御」をすることが出来、かつ、アクセスさせる利用者の情報の管理を一元的に行うことができます。今回は、なぜそのような機能が組み合わされて提供され、広く利用いただいているかを掘り下げてみようと思います。

 Gluegent Gate

Gluegent Gateの説明は難しい

Gluegent Gateを予備的な知識が無い方にご説明するのは、いつも苦労します。「統合ID管理基盤」と無理やり一言で言ったりもしますが、よくわかりません。Gluegent Gateは多くの機能を持ち、その使われ方や、期待することによって見え方が変わってくるからです。そういう場合、私達は「こういう事困ってませんか?」というような簡単な例をあげてご説明します。

    <お客様が抱えている課題例>
  1. 会社で使うサービスがいっぱいあって、利用者がそれぞれのパスワード覚えられなくて困ってる。
  2. クラウドサービスを使えるようにしたんだけど、社外の端末にデータが残るようなことがあると困るから事務所からだけ使えるようにしたい。
  3. 使ってるサービスが複数あるけど、人の出入りも激しくて、サービスへのID登録・削除が大変。

このような課題は、それぞれを見るとバラバラな内容ですが、Gluegent Gateが解決できる問題であり、それぞれの側面をよく表している課題です。 説明をする場合、私達のように提供する側からすると、「こういう機能があります」という機能の一覧となり勝ちですが、今回は、「困っていること」の方から、「これはこういう機能で解決できます」というアプローチを取ってみようと思います。

パスワードは一個覚えればOK

前述の1を解決する機能は、SSOです。シングルサインオン(SSO)は、一回認証するだけで、複数のサービスの利用ができるようになるということです。通常、それぞれのサービスでIDとパスワードを持っていて、それぞれで認証をすることになります。パスワードのポリシーが違ったり、IDで使える文字種が違ったり、それぞれ毎回ログインしないといけなかったり、利用者に対して、多大な負担を強いることになります。
パスワードは、使いまわされることになり、パスワード忘れが多くなり、管理者も毎回それに対応する必要があります。そのサービスが本来提供する機能を享受することと、管理コストを天秤にかけるようなことになります。
このような問題は、シングルサインオンが実現できれば、解決します。本来、それぞれのサービスがやるべきことは、別にあって、利用させるために「相手が正しくその人であること」を確かめるという認証処理は、そのサービスにとっては本質ではありません。それなら、他のサービスに認証を任せてしまえば良いのです。
Gluegent Gateでは、SAML2.0を中心として、各種サービスに個別に対応したSSOを提供します。そのサービス自体は認証を他に任せる機能がないという場合でも、「代理認証」という機能があります。これを使えば、SSOの仲間に加えることができます。(もちろん、入念な検証が必要です)

そのサービスを使える人をIPアドレスで制御します

前述2の課題については、多彩なアクセス制御の機能で解決します。クラウドサービスが多く提供され、どこでもいつでも仕事ができるようになってきました。素晴らしい世の中です。「自社に帰ってメールチェックしなきゃ」というようなことは随分昔の話だと思います。ただ、特定の人が特定のサービスを使うのは必ず自社からだけである必要があるような場合もあります。社外秘の情報を自宅のPCで見てほしくないわけです。会社のPCのセキュリティは万全でも、自宅のPCまでそのレベルで管理するのは困難です。
Gluegent Gateでは、IPアドレスや、時間帯など、多彩な要素で特定のサービスに対するアクセスを制限することができます。例えば、事務所のIPアドレスからだけ許可し、しかも、営業時間外のアクセスは禁止するというようなこともできます。また、特定の端末だけ許可したり、特定の証明書だけ許可するなど、アクセス制御の要素が豊富にありますので、様々なニーズに対応可能です。

IDの管理を一元化しましょう

前述3の課題については、Gluegent GateでIDの管理をすることで解決できます。社員が入社したら、Gluegent Gateにアカウントを作成し、利用させたいサービスにチェックを入れれば、そのサービスにアカウントが作成されます。対象サービスに対して、アカウントを作成しにいく機能は、「プロビジョニング」や「ID同期」と呼ばれます。Gluegent Gateでは、ID同期に対応しているサービスが多くあります。また、対象サービスでグループがあれば、グループの構成も同期可能なサービスもあります。(利用したいサービスで可能かどうかはお問い合わせください) また、Gluegent Gate自体はIDを管理せず、外部のディレクトリサービス(ADやLDAP)を源泉として、Gluegent Gateに登録されているサービスにID同期をすることもできます。 ID管理を一元化することで、各サービスの管理画面にログインして、入社した社員のためにアカウントを作成したり、退職者のために無効にしたりなどの、煩雑な作業から開放されます。

SSOとアクセス制御とID管理を一つのサービスで担う

前項までにご説明したことは、本来的には、単一の機能です。 SSOは、複数のサービスの認証を移譲される機能なので、認証情報と、誰にどのサービスを認可するかということがどこかのデータベースにあれば良いはずです。
また、アクセス制御は、誰がどのようなシチュエーションでどのサービスにアクセス可能かという情報を保持する機能です。
ID管理は、ID情報の保持と特定のサービスへのプロビジョニングの機能です。これ単体で考えると、認証もアクセス制御も関係ありません。アカウントがあるかどうか、アカウントの内容が適切であるかどうか、という点が関心事です。
ただ、これらを一つのサービスで担うことで、高度なセキュリティを確保した上で、ユーザに対しては、高い利便性を提供することができます。
SSO機能は、アクセス制御機能から、特定のユーザがそのサービスにアクセスして良いか確認して、認証および、認可します。また、それに前もってID管理機能によって、サービスにアカウントが作成されている必要があります。
あるいは、逆に考えると、退職者などのアクセスしては行けないアカウントは、ID管理機能によって即座に対象サービスで無効化され、SSO機能はそれをもって認証できなくします。

Gluegent Gateでは、SSO、アクセス制御、ID管理といった機能が連携し、多くのお客様の問題を解決してきました。ただ、クラウドサービスはこれからも増え続けるはずです。我々はこれからも様々なサービスに対応し、お客様のセキュアな利便性向上に貢献したいと考えています。今回ご説明した問題から外れた問題でも、解決まで一緒に考えさせていただきたいと思います。是非ご相談ください。

 Gluegent Gate


2017年8月15日火曜日

Office 365 / G Suite 連携のクラウド型ワークフロー テンプレートを拡充します

Gluegent Flow は、Office 365 や G Suite と連携するクラウド型ワークフローです。Gluegent Flow では、経費精算申請、稟議書、障害報告など、簡単ないくつかの申請フォーマットをサンプルとしてご提供しております。これらのテンプレートは、お客様の Gluegent Flow 環境に取り込み、お客様で自由にカスタマイズできるようになっております。これらのテンプレートは、Office 365 と連携する場合も、G Suite と連携する場合も問題なくご利用いただけます。

例えば、経費精算書のサンプルでは、日付や項目名、金額の入力欄があり、自動的に合計金額が算出されるようなサンプルとなっています。



現在、今秋に向けてこのテンプレートを大幅に増やすことを計画しており、着々と準備を進めております。例えば、休日出勤申請や出張申請、仮払い申請などよく使われるものから、結婚届けや出産届けなどめったに利用されないものまで各種ご提供する予定でおります。

滅多に利用されない申請などは、どうしても紙やメールベースで処理しており、電子化されていないケースも多いのですが、こういった滅多にしない申請が「いつも通り」に処理できるようにしておくことによって、いざというときのユーザの負荷が軽くなり、対処漏れや作業漏れなどを防ぐことができるようになります。


・機能が豊富で色々できそうだけど、自社に合ったことができるのか判断できない
・もっと色々な申請を Gluegent Flow 上で処理できるようにしたいが、申請フォーマットの作成に時間が取れない
・導入後、速やかに社内活用したい
・Gluegent Flow でどんなことができるのかもっと知りたい

といったお客様、未来のお客様に便利に活用いただけるものを取り揃えて行きたいと考えております。
もし、こんなテンプレートが欲しいというものがありましたら、ご連絡ください。

2017年8月8日火曜日

Active Directory (AD)とのクラウド連携は意外に簡単です

既存のオンプレミスシステムからクラウドへの移行に伴い、様々なサービスとのシングルサインオンをご希望されているお客様も多いかと思います。弊社ではそのようなお客様にGluegent Gateをご提案しておりますが、最近増えてきたのが「現在Active Directory(以降、AD)でユーザ管理しているため、そのADと連携することでシングルサインオンやG Suite(旧Google Apps)やOffice 365とのユーザ同期を実現できないか」というもので、弊社ではAD連携が可能なGluegent Gateをご提案しております。Gluegent Gateをご利用することで、AD上のユーザ・グループの同期およびAD認証ができますので、ADでの一元管理が可能となります。
ただ、AD連携を行うための設定作業は何かとシステム管理者に対して「重い」ことが多いため、「大変じゃないの?」と思われているケースも少なくありません。

今回は、お客様AD環境とGluegent Gateを連携するために必要となる作業の概要をご説明したいと思います。

Gluegent GateとADを連携するために必要なお客様作業手順

基本的にAD環境への作業はお客様にて実施していただくよう、お願いしております。 以下、AD連携時にお客様にご依頼している作業の概要をご説明します。
  1. Gluegent Gateからお客様ADへの通信経路を確保する
  2. LDAPS通信が発生します。そのため、ファイアウォールやルータ等で通信を制限している場合、Gluegent Gateサーバからの通信を許可していただきます。
  3. お客様ADへのSSLサーバ証明書をインストールする
  4. ADへのLDAP参照のために、SSLサーバ証明書がインストールされている必要があります。サーバ証明書は公的機関から発行されたものでも、自己署名証明書でも構いません。自己署名署名書はIISから発行することができます。
  5. お客様ADへ接続するための専用ユーザをADに追加する
  6. ADへのLDAPS接続のため、ADに1名専用のユーザ(LDAP Bind用ユーザ)を作成していただきます。
  7. 同期対象ユーザ・グループを定義する
  8. ADでどのユーザ・グループを同期対象とするか、限定するため、ADのセキュリティグループを用いて定義します。 以下、ユーザの同期対象を例にご説明します。
    1. 任意の名前でセキュリティグループを作成する(ルートグループの作成)
    2. Gluegent Gateにおいてサービス毎に決められているセキュリティグループを作成し、手順1で追加したルートグループにメンバー登録する。(例:G Suite→googleapps、Office 365→office365)
    3. 手順2で追加したセキュリティグループへ同期対象のユーザをメンバー登録する
    ※同期対象のグループも上記と同様に指定することができます
  9. Gluegent Gateに設定するパラメータシートを記入する
  10. 接続先URIおよびBind DN、LDAP BindユーザID/パスワード、ユーザ属性のマッピング情報、同期グループDN等、弊社指定のパラメータシートに記入して頂きます。このパラメータシートの設定内容を踏まえ、弊社にてGluegent Gateを設定します。
    プレゼンテーション3.png

AD連携の設定作業に関するご質問例

前述のAD連携に関するお客様設定作業に関するご質問とその返答例を以下にご紹介します。
  • Gluegent GateとAD連携するために、専用のソフトウェアをインストールする必要がありますか?
    • Gluegent GateとAD連携するために特別なソフトウェアのインストールは不要です。
  • 複数のADサーバがあるが、その中の1台としか認証連携はできませんか?
    • 認証時の連携先として複数のADを指定できます。具体的には半角スペース区切りでADサーバを指定します。ただし、同期対象は1台となりますのでご注意下さい
  • AD上の全てのユーザが同期されてしまいますか?
    • 弊社からご依頼したセキュリティグループをAD上に追加し、その配下にメンバー登録することで同期対象を制限できるようになっております。全てが勝手に同期されるようなことはございません。
  • ADサーバに導入が必要なSSLサーバ証明書は自己署名証明書だと公的機関から発行されたものより安全ではないですか?
    • 公的機関から発行された証明書は、保証されている安心である反面、コストが高くかかります。Gluegent Gateとの連携において、通信経路におけるアクセス元も限定しているため、自己署名証明書だからセキュリティ強度が弱くなる、ということはございません。
  • ユーザのマッピング情報はどこで指定しますか?
    • AD連携オプションを導入するお客様にはパラメータシートに設定値を記載していただき、それを踏まえて弊社にて設定作業を行います。その中に記載していただければ、弊社側で設定いたします。同期後、正しくマッピングされているかご確認ください。

以上、Gluegent GateとAD連携を行う際に必要となるお客様作業の概要をご説明しました。上記のような設定作業を行うだけでADを源泉としたユーザ・グループ同期に加え、認証もAD経由で行うことができるようになりますので、メンテナンス作業も効率化でき、運用コストの削減も期待できるようになるでしょう。なお、より詳しく知りたい方はぜひ弊社お問い合わせフォームからお問い合わせください。

 Gluegent Gate


2017年8月1日火曜日

「行動予定表」と「伝言メモ」を社内ポータルに統合する


スケジュール共有の方法は様々です。グループウェアを導入している企業では、Googleカレンダーのようなスケジュール管理機能で、予定を公開・共有するのが一般的かと思います。ただ、仕事の内容によっては、ホワイトボードの「行動予定表」で、外出先と帰社時間を書いておくという共有方法が仕事を進めやすい場合もあります。今回は、そのような「行動予定表」と不在時の伝言を伝える「伝言メモ」の機能を弊社サービスであるGluegent Gadgetsを用いてクラウドで実現する方法をご紹介します。

ホワイトボードの「行動予定表」

G Suite (旧 Google Apps)を導入されている企業でも、オフィスの出入口近くに、「行動予定表」というホワイトボードが置いてあることがあると思います。
schedule.png
営業に出かける社員が外出時に、サッと書いていく運用がされているのではないでしょうか。
このような「行動予定」は、オフィスに残っている人向けに、自分がどこにいて、いつ帰りますという意思表示のために使われます。Googleカレンダーのようなスケジューラでは、詳細な情報が得られますが、「行動予定表」は、一覧性に優れ、見る人に負担をかけません。

不在の人への伝言メモ

一方、でかけている社員に電話があったり、来客があったりなど、伝言を残したい場合があります。メールで伝えることも多いと思いますが、行動予定表のメモ欄に書いておいたり、デスクに付箋を貼っておくような伝言もあると思います。あるいは、部署内での大事なタスクを伝言する場合など、伝言が伝わった事や、タスクが完了することも確認したいケースもあります。メールで伝えると対応が漏れてしまうこともあります。

行動管理ガジェット

弊社では、これらの要件をクラウドで実現する「Gluegent Gadgets行動管理ガジェット」を提供しています。画面と合わせて、簡単にご紹介します。
以下の画面のように、タブで切り替えて様々な情報を表示することができます。自分の状況を「在席」、「離席」、「会議」などから選択して、伝えることができます。また、帰社予定や現在の状態の詳細などを書いておくことができます。また、今時点で連絡に応答できるのか等のステータスも示すことができます。
activity01.png

また、他の社員のステータスや、連絡先の詳細も容易に閲覧可能です。
activity02.png

更に、自分や同僚への伝言の状況も一覧で参照できます。
activity03.png


伝言のみだけでなく、特定の処理が終了するまで管理したい場合は、タスクとして登録することも可能です。
activity04.png

ここでは、全ての機能を紹介しきれませんが、「Gluegent Gadgets行動管理ガジェット」を使って、対象の人が、自席にいるのか居ないのか、連絡先や、今対応可能なタイミングなのかを把握することが可能です。

異なる視点でのスケジュールの共有

一般的なスケジューラは、自分や、同時に利用できない会議室などのリソースのスケジュールを管理し、ダブルブッキングなど不都合がおきないようにしています。さらに、そのスケジュールを共有することが可能です。ただ、この機能は、「未来」の「自分」の予定を予約して、「スケジュールを適切に管理する」という視点です。 一方、「Gluegent Gadgets行動管理ガジェット」は、「今の状況の共有」や「不在時の伝言や確実なタスクの管理」という機能を提供しています。「現在」の自分の状況を「他者」に共有することで、「今起きている課題に対応しよう」という視点です。
これらは、似通った内容を表示するサービスですが、視点が異なることがわかります。

以上の通り、Gluegent Gadgets行動管理ガジェットをご利用いただければ、様々な予定管理がクラウド上で実現できます。ホワイトボードの行動管理表を使っていて、Googleカレンダーに移行したものの運用がうまく回らないなど、お困りの方がいらっしゃいましたら、是非、お問い合わせいただければと思います。