2017年11月14日火曜日

Gluegent Gateの運用パターン - ID管理編 -

Gluegent Gateは、各種クラウドサービスをはじめとして、オンプレミスな社内システムへのシングルサインを可能とし、「適切な人」が「適切なサービス」を「適切な場所や端末」からアクセスできるようにする、アクセス制御の機能を備えています。これらの機能にフォーカスした運用パターンについては、以下の記事でご紹介しました。
今回は、もうひとつの重要な機能、「ID管理」の運用パターンについて、ご紹介します。


 Gluegent Gate

IDはどこに管理・格納されているのか

組織内のID情報は、様々な場所に置かれているようです。
  • Active DirectoryやLDAP Server
  • 独自の社内システムの人事データベース
  • 社員名簿
  • まとまった場所がない
一番筋が良いのは、Active DirectoryやLDAP Serverなどのディレクトリサービスで管理する方法です。まさにそのために作られた仕組みですので、管理や検索も容易にできます。ただ、小規模な組織には若干敷居が高いかも知れません。
また、給与や、人事など様々な社内の仕組みの管理のために社内システムを作りこみ、その中のデータベースに格納されているという場合も多くあります。 数人から十数人の組織では、そもそもシステムというものとしては、社員の一覧を格納した場所はないようなことも多いでしょう。IDの数が多くなく、検索するほどの量でもないため、必要がないからです。

サービスにアカウントを登録する

クラウドサービスやオンプレミスのサービスを利用するには、そのサービスにアカウントを作る必要があります。前述したIDの格納場所が、AD等のディレクトリサービスであれば、気の利いたサービスならアカウントの連携ができることもあります。独自システムの場合も、CSVファイルなどに出力できれば、それを読み込む仕組みがあったりします。 システムが参照できる仕組みがなかったり、そもそも一覧がない場合は、使う人ベースでアカウントを手動で作るような運用が多いでしょう。人の数や使うサービスの数が少ない場合は、実はこれで十分です。

「クラウド当たり前」な近年のID管理は複雑になりやすい

近年、特定の領域で高度な機能を備えたクラウドサービスが安価で利用できるようになっています。多くの組織では、G SuiteやOffice 365のようなクラウド型のグループウェアと合わせて、必要に応じて別サービスを組み合わせることが多いようです。ストレージ機能の強化のために、BoxやDropboxを足したり、営業部のみSalesforceを追加したりなどの利用形態です。
このような使い方をする時に、IDの適切な格納場所がなく、アカウントがそれぞれのサービスでバラバラに手動で作成されているような運用となってしまっているお客さまも多くいらっしゃいます。ただ、小規模な組織でも、急成長したり、買収などにより、複数の組織が統合されるような場合には、そもそもIDの管理や利用しているサービスも全く異なるため、一気に複雑さが増します。
このような状況では、利用者も管理者も運用するだけで非常に大きなコストを払うことになります。新入社員のアカウント発行や、退職者のアカウント削除、異動等によるアカウントの更新など、アカウントがあるサービスの数だけ手動で実施するのは、困難な上、セキュリティリスクを抱えることになります。

IDの管理は一箇所だけで

IDに対する管理は、一箇所だけで行い、この情報が伝搬していくのが理想です。IDを管理している主体(ここでは便宜的にADとします)に、新入社員の情報を作成し、利用させたいサービス(G Suite、Dropbox、社内システムなど)を有効にすると、自動的に対象サービスでアカウントが作成されるという仕組みです。姓が変わったとしたら、ADだけ変更すると、利用している全てのサービスに伝搬します。このような仕組みは、「ID連携」や、「アカウント連携」、「プロビジョニング」など様々な用語で説明されますが、要は、人間が手を入れるところは一箇所にして、他はそれが伝搬して反映されるという仕組みです。

Gluegent Gateでの運用

Gluegent Gateを使った運用では、どのような形態が取られるのでしょうか。

小規模な組織で少数のサービス利用のケース 
例えば、ID数15で、利用するサービスは、G SuiteとBox、5人の営業メンバーのみSalesforceも利用するというようなケースです。Gluegent Gateを利用しなくても、この程度の数であれば、それぞれ個別に登録・利用しても良いかもしれません。ただ、Gluegent Gateは、それ自体がIDの管理・格納場所として機能します。そこで、Gluegent Gateに15人登録し、それぞれおの利用するサービスを有効にします。これだけで、それぞれのサービスにアカウントが作成され、利用可能な状態となります。その上、以前の記事で書いた通り、シングルサインオンの機能により、一回のログインで全てのサービスが利用できますし、特定の端末からのみ使わせたいといったアクセス制御もGluegent Gateの画面のみで完結します。更に、サービスの追加や、アカウント増、退職者アカウントの適切なクローズなどもGluegent Gateの画面から処理できます。
つまり、Gluegent Gateが無くても、頑張ればそれなりに使えるものですが、Gluegent Gateを入れることで、運用コストが大幅に下がり、高いセキュリティレベルを実現することができます。その余剰のマンパワーは、より組織の目的に直結するような仕事に使うことができます。

IDはADに格納されていて、利用するサービスもそれなりにあるケース
数百から数千のIDを管理する場合、前述のようなGluegent Gateのみでの管理は難しくなってきますし、そのようなボリュームであれば、ADのようなディレクトリサービスに情報を置いているケースがほとんどです。部署の多岐にわたり、様々な仕事があるため、利用するサービスも多くなります。
このような場合、ADのデータをそのまま利用し、Gluegent Gateを経由して、必要なサービスにアカウントを作成するといった機能を利用することができます。当然、シングルサインオン、アクセス制御もそのまま利用できます。「AD/LDAP連携オプション」として、提供しています。このオプションを使えば、既存のADをそのまま利用し、プロビジョニングやシングルサインオンの利便性とアクセス制御による高いセキュリティを両立することができます。

IDは社内システムのDBにもあるし、一部はADにもあり、利用するサービスもそれなりにあるケース
このケースは、一部事業を買収するなど、異なる形態でIDが管理されています。この場合は、Gluegent Gateを素のままで使って、連携させることは困難かもしません。ただ、Gluegent Gateでは、「スプレッドシート連携オプション」を提供しています。この機能は、GoogleスプレッドシートにあるIDを、Gluegent Gateに取り込み、プロビジョニング等を行うということができます。つまり、散らばったIDの源泉とスプレッドシートをつなぐ処理を開発してあげることで、プロビジョニングまで連携できます。また、弊社では、「社内データを超簡単にクラウドから参照できるようにするマル秘ツール」でご紹介したCSVまたは、DBからスプレッドシートにデータを同期するツールも提供しています。これを使えば更に開発の手間を抑えることができます。
大規模なお客様でも、AD等に綺麗にデータが入っているケースは多くありません。大きな組織を適切に運用していくために最適化された情報の持ち方をされています。ただ、どのような形にしても、丁寧に情報の流れを整理し、スプレッドシートに書いてあげれば、前述したような利便性と高いセキュリティを低い作業コストで実現することができます。

様々なID源泉に対応できる柔軟なID管理

ここまで見たきたようにID管理はその格納場所や既存の管理形態に、大きく依存します。Gluegent Gateでは、多くのお客様のご要望に対応してきたことで、現在のような柔軟なID管理が可能になっています。ID管理は管理者の苦労やコストが高い割に利用者には見えにくい裏方の仕事ですが、失敗すると即セキュリティ事故に繋がる重要なものです。さらに、手作業での処理が増えるほど、ミスも多くなり、作業コストもかかります。この領域の仕事は可能な限りシンプルな構造にして、人的作業は最小限に、自動処理を最大限にすることが正解です。

人の出入りや、人事異動のたびに多くの手作業をしなければいけないシステム管理、人事を担当されている方は是非一度ご相談ください。

 Gluegent Gate