2017年10月24日火曜日

Gluegent Gateの運用パターン - シングルサインオン編 -

以前の記事「Gluegent Gateの運用パターン - アクセス制御編 -」において、Gluegent Gate でアクセスを制御する運用のパターンをいくつかご紹介しました。今回は、もう一方の主要機能「シングルサインオン」についての運用パターンを見ていきます。

 Gluegent Gate

シングルサインオン

シングルサインオン(SSO)とは、簡単に表現すると、「一回のログインをもって、複数のサービスを利用可能にする」という仕組みです。Gluegent Gate では、高度な連携が出来る既定のサービスをはじめとして、SAML2.0に対応するサービスや、SAML2.0に対応していない一般的なWebサービスも、SSOの対象サービスとして登録することができます。Gluegent Gate にログインすることでこれらのサービスに個別にログインすることなく、利用することができます。SSOの世界では、認証する役割をID Provider (IdP)、利用したいサービスをService Provider(SP)と言います。ここでは、Gluegent Gate が、IdPで、登録されるサービスがSPということになります。以下にGluegent Gate が扱えるSPを簡単にご紹介します。

1. 既定のSP
Gluegent Gate では、多くのサービスが既定のSPとして利用可能です。SSOの文脈では認証の連携をするのみですが、既定のサービスでは、認証以外にも、プロビジョニングの機能を提供するなど、より高度な連携が可能です。現時点では、G Suite、Office 365、cybozu.com、Box、Dropbox、Salesforce、Mail Luck!、PrimeDriveなどに対応しています。

2. SAML2.0対応のSP
SAML2.0は、SSOの仕様として事実上の標準となっており、多くのサービスがSPとして動作します。ただ、仕様として定められているものの、実際の実装にはサービス毎に若干のばらつきがあります。Gluegent Gate では、個別の設定をすることでSPとして登録することが出来ます。

3. SAML2.0に対応していないSP
SAML2.0に対応していなくても、SPとして登録することができます。そのサービスのログインURLとユーザIDのパラメータなどを設定することで、Gluegent Gate が代理で認証します。昨今の多くのサービスはSAMLに対応していますが、古くから社内で使われているサービスや、SSOを意図していない内製のサービスなどは、この方式でSPとして登録することができます。

実際の運用パターン

Gluegent Gateでは前述したSPを利用することができますが、お客様は実際にどのように運用されているのでしょうか。以下、お客様環境での運用ケースをご説明していきます。

代理認証でレガシー対応

まず、G Suiteや、Office 365といったメジャーなクラウドサービスの利用のために、アクセス制御を目的として導入するケースが多くあります。これまで、社内にサーバを置いてグループウェアを利用していたお客様が、G SuiteやOffice 365に移行する場合、多くのニーズは、移行先で満たせます。ただ、業務の内容によっては、どうしても既存のサービスを利用しなければいけない場合があります。その場合には、「既定のSPでクラウド型グループウェア 、代理認証で 既存サービス」というような運用となります。既存サービスを置き去りにせず、SSOの世界に入れることで、利便性が損なわれることがありません。

汎用SAMLで各種クラウドサービスをトッピング

クラウドサービスが当たり前の状況となってから、G SuiteやOffice 365のような多機能なサービスとは別に、特定の単機能に特化したサービスも多く提供されています。多くのお客様は、一般的なオフィススイートとして、G Suiteか、Office 365を使い、足りない部分を単機能のクラウドサービスで補うような運用をされています。全社員向けに、G Suiteを入れて、営業部門にはSalesforceを、サポート部門にはZendeskを、経理部門にはさらに別なクラウドサービスをというように、各部門向けに特化したサービスを選んで追加する形です。
ニーズは各部門にあるので、部門独自で導入してしまうケースも見受けられます。ただ、その場合は、ID管理が別になりますし、全社で使っているサービスと部門で使っているサービスは別にログインしなければいけません。その場合は、SPとして登録して、SSOの仲間にしてしまいます。メジャーなサービスは既定のSPとして提供しています(今後も対応を増やしていきます)し、現時点で対応できていなくても、汎用SAMLを利用すれば、SPとして登録可能です。
高度な機能が月単位で少人数でも利用可能になっている時代です。トッピング感覚でSSOに取り込むことでシームレスにサービスを利用できます。

シングルサインオンでユーザの利便性を追求し、さらに...

ビジネスで使うサービスは、今後も増加していきますし、捨てきれないレガシーサービスもあります。これらをまるっとSSOに取り込むことで、利用者は本来の仕事のために頭と時間を使うことができます。さらに、認証を一箇所で管理することで、前回の記事で触れた「アクセス制御」も一元管理できます。もうひとつのポイントの「ID管理」も一箇所で完結します。ユーザの利便性を追求することと、セキュリティの強化および、管理工数の削減を同時に実現可能です。


いかがだったでしょうか。Gluegent Gate は、レガシーシステムも、最新のクラウドサービスも同時に利用するお手伝いができます。是非一度ご相談ください。

 Gluegent Gate