2017年9月26日火曜日

G Suite 中心での SSO か Gluegent Gate 中心での SSO か

G Suite は、OpenID Connect の Identity Provider や SAML の IdP としての機能を持っています。このため、G Suite にさえログインしていれば、他のサービスにもログインできるという形での SSO(シングルサインオン)は、G Suite だけでも実現することが可能という事になります。

ある意味で、弊社が提供するGluegent Gateとは競合関係にあるのですが、我々としては、今のところうまく共存できているものと考えています。

 Gluegent Gate

SSO以外の重要な付加機能

SSOについては、Gluegent Gate の重要な機能の一部ではあるのですが、あくまでも一部の機能という位置づけになります。アクセス制御の観点から見ると、G Suite のみでは実現できないことが多々あり、Gluegent Gate のような IPアドレスや証明書、端末制御などの機能が必要になるケースが多いです。

また、クラウドの統合的なID管理を考えていくと、各種クラウドへのアカウントやグループ同期のためのプロビジョニング機能が必須と考えられるケースは多くあります。

こういったケースでは、どうしても Gluegent Gateで提供している機能が必要となってきます。

SSO 自体の捉え方の違い

G Suite のような業務に密接に影響を与えるサービスは、業務効率改善のために別サービスへの移行を検討する必要があるケースが度々訪れます。例えば、G Suite を利用していて、Office 365 への乗り換えを検討する必要がある等、最近はよく耳にします。このようなケースでは、G Suite を SSO の中心に据えてしまっていると移行に際して、問題になるケースが多くなります。

例えば、G Suite を SAML IdP として、Dropbox を SAML SP として利用している場合に、Office 365に移行するには、Office 365 のアカウントを社員に払い出し、Dropbox と G Suite の SAML 連携を解除して、Office 365に振り向ける必要が出てきます。アカウント同士の紐付けなどにも注意を払う必要が有るでしょう。

Dropbox だけであればまだしも、Salesforce や Box、Zendesk など、複数のクラウドサービスを連携している場合、かなり煩雑な業務になることが目に見えています。全社的なアナウンスなども大変でしょう。

Gluegent Gateなどの、薄い認証レイヤーを入れておくことで、上記のような対応は比較的簡単なものになります。Gluegent Gate と Office 365 を連携させ、然るべきタイミングで G Suite との連携を解除するのみです。

実際には、もう少し手間は必要ですが、G Suite を中心に SSO を組んでいる場合と比べ、かなり見通しは良いものとなります。



一方で、弊社の Gluegent Flow や Gluegent Apps 等は、現時点では G Suite や Office 365 に OpenID Connect でぶら下げるような仕様にしています。これは、これらのサービスが G Suite や Office 365 に密接に連携するものであるためです。

このように、SSO 連携させたいサービスの特徴によって、G Suite にぶら下げるのか、Gluegent Gate にぶら下げるのかを判断していく必要もあるでしょう。

そうは言っても、是非 Gluegent Gate を中心にすることをご検討下さい!


 Gluegent Gate