2021年4月7日水曜日

プロビジョニングできるとIDaaSはより便利でセキュアに

IDaaSというと、多くの場面でシングルサインオン(SSO)の利便性が強調されますが、実際に運用していくと、対象サービスへのプロビジョニングができるかどうかで、運用コストが大きく違うことがわかります。今回の記事では、なぜ、プロビジョニングが重要なのか、概観してみます。


「シングルサインオン」をユーザ視点と管理者視点で捉える

IDaaS(Identity as a Service)は、Identityに関わる機能を提供するサービスです。IDaaSを謳うサービスは多くありますが、その製品によって提供する機能は異なります。また、その機能群によって、得られるメリットも多岐にわたります。利用するサービスの選定のためにも、自分たちの組織が求める要件を実現するにはどのような機能が必要か、理解することが大事です。ここでは、分かりやすく捉えるために、ユーザが嬉しい機能と管理者が嬉しい機能の二面で捉えてみましょう。

では、まず、イメージしやすい機能として、「シングルサインオン」を二つの側面から見てみます。

ユーザ視点で、シングルサインオンが嬉しいのは、「パスワードをたくさん覚えなくても良い」、「何度もログインしなくてよい」などでしょうか。ユーザにとってのメリットを一文にまとめると、「サービスを使いたい時にスムーズに使えるようになり、仕事をすることに本質的に関わらない時間や手間を削減され、本業に多くの時間を使い、集中できる」ということになるでしょう。

一方、管理者視点で、シングルサインオンが嬉しいのは、実務的には、「パスワード忘れの問い合わせが減る」が一番かも知れません。ただ、直接的な業務としてでなく、管理側の責務にとって、最も嬉しいのは「ユーザと管理者どちらにとっても、少ない努力量で高いセキュリティを提供出来る」という点にあります。ユーザは、仕事をしたいのであって、セキュリティを守りたいわけではありません。長く複雑なパスワードを複数覚えさせるような「本当は仕事と関係ないこと」について労力を取られることを嫌います。そうすると、同じパスワードを使いまわしたり、紙にメモしたりするなど管理者にバレないようなちょっとした「工夫」をするようになります。その工夫がセキュリティの穴となり、インシデントを招くこともあります。管理者としては、高いセキュリティを維持するためだからと言って、ちょっとした無理を現場にお願いすることになりますが、ちょっとした無理も積もれば仕事の邪魔になります。これでは、ユーザの理解は得られません。しかし、シングルサインオンであれば、現場の手間を減らした上で、セキュリティレベルも上げることができます。この点で、シングルサインオンは、導入効果が高い機能と言えるでしょう。

「プロビジョニング」をユーザ視点と管理者視点で捉える

では、プロビジョニングはどうでしょうか。まず、シングルサインオンほど、メジャーな機能ではないので、概要を説明します。プロビジョニング(provisioning)は、広義では「特定のリソースを利用可能な状態に準備する」という意味です。IDaaSの文脈では、対象のサービスを使えるようにアカウントの準備をしておくということになります。IDaaSが連携するサービスについて、プロビジョニング機能を備えていれば、IDaaSでアカウントを作成することで、対象サービスにアカウントを作ることが出来たり、IDaaS側で、削除や無効化するだけで、対象サービス側でも削除や無効化することができます。また、特定のグループを作ったり、アカウントをグループに入れたり外したりできるサービスもあります。

プロビジョニングのユーザにとってのメリットは、使いはじめまでの準備が早いことが上げられるでしょう。例えば、新入社員が10人入って、そのうち7人が営業部で、3人が開発部とした時に、全ての社員が使うサービス、営業部だけが使うサービス、開発部だけが使うサービスがそれぞれあるとします。プロビジョニング出来なければ、それぞれのサービスにそれぞれのアカウントを手でつくる必要があります。さらに、シングルサインオンでログインさせるために、それらのアカウントの紐づけをする必要があります。ユーザは、管理者が準備してくれるのを長く待つ必要がありそうです。

プロビジョニングの管理者にとってのメリットは、各サービスのアカウント管理が一元化されるという点です。プロビジョニングというとアカウント作成が分かりやすい例にあがります。実際、複数のサービスに複数のユーザを手で作っていくのは、煩雑で骨が折れる作業です。ただ、セキュリティの面で注目しておきたいのは、不要なアカウントの削除・無効化が確実にできるという点です。退職などで組織を離れる利用者のアカウントは、適切に管理されていなければ、残ってしまうこともあります。場合によっては不正にログインされることもありますし、そのようなケースは発見されにくいものです。コストも無駄になります。プロビジョニングでIDaaSから一元管理できれば、わざわざ、対象サービスの管理画面に入ってユーザ一覧を確認することもなくなります。多くの連携サービスを含めたアカウント管理を一元化できることで、ユーザにもスムーズにサービスを使ってもらうことができます。

シングルサインオンのように毎日ユーザの利便性に寄与する機能ではありませんが、管理者の仕事を確実で簡易にものにすることで、組織としてのサービス基盤に大きく寄与する機能です。

プロビジョニングでより強固な連携を

プロビジョニングの処理は、対象サービス側で提供されるAPIを、IDaaS側で呼び出すことで、実現されます。そのため、適切なAPIが提供されていなければ、実現できませんし、IDaaS側がそのサービスに対応していなければ、実現できません。シングルサインオンには、SAMLというデファクトスタンダードの仕様があり、サービス側もIDaaS側もSAMLに対応するだけで、シングルサインオンを実現できますが、プロビジョニングでは、各サービス毎にアカウントの構成や、グループ、組織の考え方が異なるため、APIの作りや呼び方も多種多様です。弊社が提供するGluegent Gateでも、多くのサービスに対して、プロビジョニングが出来ますが、まだ対応出来ていないサービスもあります。ただ、Gluegent Gateでは、より強固な連携が出来、日々の運用コストを軽減し、高度なセキュリティを実現できるように、シングルサインオンだけでなく、プロビジョニングできるサービスを拡大しています。今後もどんどん対応サービスを増やしていきますので、ご期待ください。Gluegent Gateが、どのようなサービスと連携することができるのか、Works with Gluegentのページでご案内しています。

(ま)
  Gluegent Gate

2021年3月31日水曜日

アメリカ人から見た「ワークフローの形と使い方」

こんにちは、サイオステクノロジーGluegentサービスラインのジャレド・ウォレスです。本記事は「アメリカ人から見た」シリーズに続いて、国内と海外(特に北米)のワークフローの使い方や概念の違いについて話していきたいと思います。今回も以前からと同様に、個人的な感想と事情の解釈になりますので、改めてご了承頂ければと思います。では、早速いきましょう。

ワークフローの形

国内外の違いを説明する前にまずワークフローの様々な形について触れてみましょう。全てのワークフローは何かのプロセスを表しますが、そのプロセスは組織内外でどんな風に流れているのかを考えてみたことはありますでしょうか?ボトムアップ系のワークフローは社員から始まり、マネージメントレベルに上がって決裁されるプロセスであり、例えば物品購入申請などが思い浮かびます。一方トップダウンワークフローはマネージメントから社員に流れてくるプロセスになり、プロダクト開発などが代表的なのではないかなと思います。マネージャーが期待する結果を出すために部内のリソースを割り当てたり、プロセスの進捗状況を監視するためのワークフローとも言えます。このようなワークフローは垂直型ワークフローと、私は呼んでいます。

垂直型ワークフロー以外にも、様々な部署や組織外まで含むワークフローがあります。例えば、とあるソフトウェアのユーザーが不具合を報告したとき、まず(1)ユーザーから(2)サポートまで流れてきます。修正が必要とされた場合サポートから(3)開発に流れてきて、直ったら今度は逆の順番で流れてゆき、対応完了になります。このように様々な部門を渡って流れていくワークフローは水平型と言っています。

このようにワークフローの流れ方で分けて考えていますが、国内外はどう違うのでしょうか?

形だけでなく流れ方も重要

上記の説明を読んでご自身で想像がついたかもしれませんが、ワークフローは形によって文化(つまり国などによって)が変わったりします。国が違えば全く違うということはなく、水平型のワークフローはプロセスが概ね一緒であればあまり変わらないと思います。一方、垂直型は組織内の階層そのまま反映しているので、国による違いが出てくると思います。

たとえば、国内ではビジネスに関する決断方法は内容と社内文化によって様々だと思いますが、大きな決断(お金の使い方など)はよく稟議形式で行われることが多いことでしょう。これは複数の理由があると思いますが、「みんなが知るため」とか「決断について納得を得るため」という目的で行われているのではないでしょうか。少し言い方を変えると、稟議形式の決断は日本の「周りの方がどう思っているかを考えながら行動する」、グループ心理という文化を表している事例の1つだと言えると思います。一方、北米ならそもそもこのような決断方法は考えられていなく、監督役が自分で決める、またはミーティングで決めることなので、あまり使われていないように思います。

また、概ね同じプロセスでもワークフローの流れ方が逆になったりすることもあります。例えば新人社員の使うサービスのアカウントやパソコン配布など、部門内のリソースの割り当てについて考えてみましょう。日本では本人→各関係者に流れてくるワークフローが多いと思いますが、これは暗黙ながら本人が関係者に「お願いをする」という形でよく見られると思います。北米だと同じプロセスが部門担当者から始め、最初から新人社員のため「事前にしてあげる」の形が一般的なのではないかと思います。

いかがでしょうか。このように思わぬところに文化が意外と深い関係をしていることがわかると面白いですね。弊社ではワークフローの製品 Gluegent Flow を提供しておりますので、ワークフローにご興味を持った方は是非検討してみて頂ければと思います。
Jared Wallace

 
 

2021年3月24日水曜日

Gluegentサービスラインのこれから

株式会社グルージェントが2020年10月にサイオステクノロジー株式会社に統合し、Gluegent サービスラインとして再始動となり、はや6ヶ月が経過しようとしております。
改めましてご挨拶をさせていただきます。
Gluegent サービスラインヘッドの有馬でございます。

2021年度春を迎えるにあたりGluegent サービスラインの向かう方向性をお伝えしたいと投稿させていただきます。



企業を取り巻く環境の変化への対応

企業を取り巻く環境は大きく変わりました。COVID-19(緊急事態宣言)
境界型防御の崩壊(マルウェア、不正アクセス、ネットワーク負荷の増大)
働き方改革(法改正、在宅勤務、テレワーク)
DX推進(クラウド、モバイル、AI活用)

特にこのコロナ禍は、皆様に負担を与えるものではありますが、それでも皆様は前を向き、働くスタイルを大きく変化させることになりました。

このニューノーマル時代にGluegent サービスラインがご提供しております「Gluegent™シリーズ」は、そんな働く人が能力を最大限に発揮できる環境づくりのご支援であり、皆様へ安心・快適なツールをお届けしております。

守りのDX

企業のDX実現のためのセキュアな基盤の構築、すなわちゼロトラストにより業務効率化を支援してきたGluegent Gateは各種の業務でご利用されているあらゆるクラウドサービスに、
便利にログインをしたい(シングルサインオン)、安心して使いたい(アクセス制御・多要素認証・端末認証)を加え、アカウントを管理したい(ID管理)までのご期待にお応えしております。(守りのDX)

攻めのDX

ワークフロー製品としてはGluegent Flowがございます。こちらは、全社業務としての申請型ワークフローに加え、テレワークでの利用拡大を受け、特定部門内での業務ワークフロー、
例えば請求書の処理申請ワークフローとして、
法務申請ワークフローとして、
人事評価・業績評価・能力評価ワークフローとして、
新卒・中途社員の入社申請ワークフローとして、
これまで隠れていた社内の紙による業務の見える化、デジタル化に貢献してまいりました。
これからは社外とのお取引先様までを巻き込んだ、デジタルドキュメントソリューションとして求められていくでしょう。(攻めのDX)


経済産業省の掲げる2025年の崖を克服すべく、Gluegent サービスラインメンバー一同は、皆様とともに、
「守りのDX」から「攻めのDX」へ
積極果敢に取り組んでまいりたいと考えております。

経済産業省 DXレポート ~ITシステム「2025年の崖」克服とDXの本格的な展開~ 

今後ともGluegent サービスラインにご期待いただき、皆様よりも叱咤、激励、ご指導をいただければ幸いです。


 
 

2021年3月17日水曜日

ワークフローでMicrosoft 365版Excelへ自動出力するには?

弊社ワークフロー製品であるGluegent Flow(Google Workspace版)の強力な機能として、Google スプレッドシートへ自動的にデータを行追加する機能があります。例えば、予め用意しておいたスプレッドシートに、決裁されたデータが自動的にどんどん追記されていくものです。このスプレッドシートからCSVファイルを作成してダウンロードすれば、基幹システムへの登録なども可能になりますね。ただGluegent Flow(Microsoft 365版)には、残念ながらこの機能は実装されていないため、以前から「なんとかして欲しい」というご要望を頂いていました。


ところが今は出来てしまうんです!

昨年(2020年)10月のアップデートにおいて、外部システム実行自動処理への拡張が行われることにより、上記のご要望にお応えすることが出来るようになりました。

Gluegent Flow リリースのお知らせ(2020/10/20)

これが何かというのをひとことで説明しますと、「色んなクラウドサービスと連携しやすくなった!」ということなんです。技術的には色々ありますが、ひとまずそういう理解をしていただければと思います。そしてその結果なのですが、Gluegent FlowのタスクデータをOneDrive上のExcelファイルへ自動的に行追加出来るようになりました。ワークフロー製品として、また一つ、新たな推し機能が増えたことになります。

実際の設定

では、実際にどのように設定してくのかを、ざっくりダイジェストで見ていきましょう。今回は、休暇申請のExcelへの行追加をサンプルとしています。

まずは、OneDrive上に出力先のExcelを用意します。このとき、出力内容をテーブル形式にしておくのがポイントです。

次に、Microsoft 365のPowerAutomateで、外部からのデータ受付と、Excelへの行追加を設定します。ここまでがMicrosoft 365側の設定です。(画像は設定した結果です。)

今度はGluegent Flow側の設定です。モデル内の経路(例えば決裁時)に自動処理「外部システム実行」を追加し、出力したい内容を記述していきます。

ここまでで準備は完了です。では、実際に休暇申請を申請/決裁まで処理してみることにします。以下のような申請を決裁すると…
最初に用意していたExcelに対して、ちゃんと自動的にデータが追加されていることが確認できますね。

今回は休暇申請でしたが、ワークフローとしての購入申請など、基幹システムと連携されたいケースは多いと思います。

他にもいろんな応用が

今回はExcelへの自動行追加でしたが、Microsoft 365の外部からの連携機能は他にも多数用意されていますので、色んな応用が考えられます。またMicrosoft 365に限らず、外部からのデータを受付るクラウドサービスであれば、連携出来る可能性があります。(ただし、ご運用に際しては、予めご検証されることをオススメします。)

最後に、今回のサンプルの詳細な説明は弊社サイトにて公開しています。ご興味がありましたら、是非ご参照ください。
(Fuji) 
 

2021年3月10日水曜日

クラウドサービスとGluegent Gateを同時に導入するべき理由とは?

これまで、当ブログではMicrosoft 365やGoogle Workspaceなどの各種クラウドサービスのセキュリティ対策とシングルサインオンのために、Gluegent Gateの利用をお勧めしてまいりました。
今回は、初めてMicrosoft 365やGoogle Workspaceなどのクラウドサービスを導入されるお客様に、Gluegent Gateを同時に導入するべき理由をご紹介します。


◯初めてのクラウドサービスを導入するのは大変!

もうすでにMicrosoft 365やGoogle Workspaceをお使いのお客様の場合、Gluegent Gateを追加で導入してもログインの仕方が変わるだけで、クラウドサービス自体の利用に関しては何ら変わりはありません。
しかし、初めてクラウドサービスを導入されるお客様にとって、新しいクラウドサービスの利用方法を改めて覚えたり、各ユーザーに周知したりとやることがたくさんあります。
クラウドサービスを導入するのだけでも大変なのに、Gluegent Gateの導入もやらなければいけない、という気持ちから、Gluegent Gateの導入を後回しにしがちです。
また、「Gluegent Gateを最初から導入すればそれだけ費用がかかってしまう。クラウドサービスも導入するからどうしても費用を抑えたい、Gluegent Gateは後から導入しても変わらないだろう。それで1ヶ月2ヶ月分の費用が浮くなら・・・」とお考えになるかもしれません。

◯Gluegent Gateは後回しでも大丈夫、だけどお勧めはできません

お客様から「Gluegent Gateの導入は、Microsoft 365/Google Workspaceをしばらく使ってからでもできますか?」と聞かれれば、「可能ですよ。」とお答えします。しかし弊社営業は「あまりおすすめはしません」と言うでしょう。それはお金のためではありません。
お客様のためを思ってのことです。
すでにクラウドサービスをお使いのお客様にもGluegent Gateをご導入いただいた実績がありますので、後からGluegent Gateを導入することは可能ではあります。
ですが、初めてクラウドサービスを導入されるのであれば、ユーザーがサービスを使い始める前にGluegent Gateの導入を行っていただくことを強くお勧めします。

◯Gluegent Gateを後から導入する大変さ

Gluegent Gateを後から導入するということは、結構大変です。
■ユーザーに、新しいID/パスワードが変わることを事前に周知する
Gluegent GateでログインするためのURL/ID/パスワードをユーザーに周知する必要があります。
最初からGluegent Gateを導入していれば、ユーザーに2つの方法を案内する必要はなくなります。

■ユーザーをGluegent Gateに追加する
Gluegent GateはID同期機能があるため、Gluegent Gateにユーザーを追加すれば、Microsoft 365やGoogle Workspaceにユーザーが作成されます。クラウドサービスを先行で使用するということは最初にクラウドサービス側にユーザーを作成します。そしてGluegent Gateを導入するタイミングで改めてGluegent Gateにユーザーを作らなければいけません。
最初からGluegent Gateを導入していれば、ユーザー作成の作業を2回実施する必要はありません。

■SSO有効化のときは、週末や深夜などに対応
Gluegent Gateにシングルサインオンを切り替えるとログイン方法が変わりますので、ユーザーに影響が出ないよう週末や深夜に行う必要があります。
もしもの場合に備えて、切り戻し、ユーザーへの代替ログイン方法の周知などあらゆる対策を講じる必要もあります。
最初からGluegent Gateを導入していれば、ユーザーへの影響がないためSSO有効化は自由に行えます。

■SSO有効化後のログイン
Gluegent Gateでログインすることを周知していたにもかかわらず、ログインができない、パスワードがわからないといった問い合わせが集中してしまいます。
おそらく、クラウドサービス導入当初にも同じような問い合わせがあるのではないでしょうか?

Gluegent Gateの導入をクラウドサービスと同じタイミングで行えば、当然その時点から費用がかかります。
少しでも費用を抑えたい気持ちから、Gluegent Gateの導入を後回しにしたいという気持ちもあるでしょう。
しかし、後からGluegent Gateを導入するだけで、手間と心労と業務ストップリスクを背負うのです。
Gluegent Gate を後から導入することで浮くことになる金銭的メリットとを天秤にかけてご検討いただければと思います。

新しいクラウドサービスを導入することはとても大変です。管理者にとってはGluegent Gateのことは後で考えたい気持ちはとても良くわかります。ですが、Gluegent Gateを先に導入することは、誰も使っていない状態で始められるため、業務リスクなく始められるのです。
(SUTO) 
 

2021年3月3日水曜日

【こんなこともできるの?】Gluegent Flowでよくいただく疑問と解決方法 第5回

今回は、Gluegent Flowでよくいただく疑問と解決方法をご紹介したいと思います。退職社員の申請データ参照、申請が止まっている場合の対処法、重複承認の場合の処理、言語設定、マスター機能の権限、ファイルのアップロード先などなど、よくいただくご質問について9点を一気にご回答します。もしこのブログをご覧のみなさまも同じような疑問や要望がございましたら、参考にしてくださいませ。

  1. 退職社員の申請データを参照したい
  2. 途中で承認が止まっているのをなんとかしたい
  3. 複数の承認経路で同じ担当者だった場合1回の承認処理で次に進むようにしたい
  4. Microsoft365のユーザーにもそうでないユーザーにもワークフローを使わせたい
  5. 日本語以外で利用できるようにしたい
  6. 添付ファイルアップロード先やマスターデータ参照先に共有ドライブを使いたい
  7. ステータス名を「申請中、回収待ち、回収済み等」に変更したい
  8. どのアクションに対してメールを送るか選択できるようにしたい
  9. フォーム設定の「説明」の記載が入力者に読んでもらえるような表示にしたい

1. 退職社員の申請データを参照したい

「申請経路上の承認者」は「退職者の申請した内容」を「処理済みタスク」で継続して参照できます。また「GluegentFlow管理者」もタスクデータ一覧から参照することが可能です。退職社員を利用ユーザーから削除しても申請のデータが消えるわけではございません。

タスクデータ一覧の画面

 🔗 タスクデータ一覧のマニュアルは こちら

2. 途中で承認が止まっているのをなんとかしたい

A → B → Cという経路があり、Bの承認者が不在等の理由で、BをスキップしてCまで進めたいというケースを例に解説します。

現在の経路に別のユーザーを担当者として追加したり、現在の担当者を変更することは残念ながらできません。Aが「やり直し」ボタンを押して、Bの経路をCに変更しA→C→Cで再申請となります。なお、やり直しをクリックできるのは申請者のみです。

 🔗 経路やスキップ設定のマニュアルは こちら(30ページ)

3. 複数の承認経路で同じ担当者だった場合1回の承認処理で次に進むようにしたい

次の経路の担当者が空もしくは自分のみの場合に、次の経路を自動的にスキップする方法があります。

 🔗 設定方法は こちら(46ページ)

4. Microsoft365のユーザーにもそうでないユーザーにもワークフローを使わせたい

Microsoft365を使っているすべてのユーザーだけでなく、Microsoft 365を使っていないユーザーにもGluegent Flowの使用を想定している場合は、Gluegent Flow Plusによる運用をお勧めします。製品の機能の違いについては、下記ページを参照ください。

 🔗 Gluegent Flow / Plus 機能比較表は こちら(ページ内下方)

5. 日本語以外で利用できるようにしたい

Gluegent Flowの表示言語はブラウザの表示言語を判断して、表示言語を切り替えます。日本語以外の言語で表示した場合、Gluegent Flowの表示言語は「英語」で表示されます。

GluegentFlow側で用意しているボタンやメッセージ等のシステム文言は日本語・英語に応じて切り替わります。

一方、お客様が入力したモデル名や項目名等は入力した言語で表示されます。モデルを作成する際に日本語・英語を併記していただくことで双方のユーザーに同じモデルがご利用いただけます。

英語表記の画面

 🔗 英語表示の画面は こちら

6. 添付ファイルアップロード先やマスターデータ参照先に共有ドライブを使いたい

現在は「共有ドライブ」からスプレッドシートなどを選択することはできません。そのため、個人に紐付くことが運用上困る場合は、個人に紐付かないユーザーを用意し、そのユーザーのドライブ配下にアップロードしたり、スプレッドシートを運用することをご検討お願いします。

7. ステータス名を「申請中、回収待ち、回収済み等」に変更したい

ステータスは経路名が表示されます。デフォルトは「申請、承認待ち、決裁待ち」になっていますが、経路名は自由に変更可能です。経路名を変える方法は、下記を参照ください。

 🔗 経路の名称変更のマニュアルは こちら(35ページ)

8. どのアクションに対してメールを送るか選択できるようにしたい

処理依頼メール・完了メールの送付する・しないは変更可能です。また、メール送信自動処理で特定のボタン押下時にのみメールを送付することも可能です。

 🔗 メール送信自動処理のマニュアルは こちら(8ページ)

9. フォーム設定の「説明」の記載が入力者に読んでもらえるような表示にしたい

入力フォームの説明欄ではクリックしたときにのみ表示されるため、わかりにくい場合は、画面上に予め注意事項として表示しておくのがいいでしょう。例えば、単行テキストや複数行テキストを使い、初期値に注意書きを書いておき、編集可能ではなく表示にするという方法があります。また、GoogleドキュメントやHTMLレイアウトを使うことで、入力欄のすぐ側に注意書きを書くという方法もあります。

初期値の設定画面

初期値の表示イメージ

 🔗 初期値に注意書きを記載するマニュアルは こちら(57ページ)

いかがでしたでしょうか。こういった疑問や要望が貴社でもございますでしょうか。もしくは、すでに導入済みの企業様で、もしご利用できそうなやり方や機能がありましたら是非試してみてくださいませ。

(Tsukada)

2021年2月24日水曜日

【Gluegent Gate】新画面デザインに移行しよう!《その4》

この連載について

Gluegent Gateを採用している企業様に向けた、Gluegent Gateを使いこなすHowToをお伝えしていきます。

対象読者について

本連載では、解説上、WebのフロントUIの技術であるHTML、スタイルシート(CSS)、JavaScriptに触れるものが含まれますが、これらの技術への深い知識は必要としません。サンプルとしてテキストをコピーしてご利用中のGluegent Gateにそのまま設定していただくことで少しずつ理解を深められるように配慮します。

バックナンバー

今回のお題

「自社ロゴをタイトルヘッダーに表示したい!」

ロゴなんでやめちゃったんだっけ?

連載の第二回で架空の「加藤酒造」を例に自社名を入れたタイトルヘッダーを実現しようとしたら、新デザインで次のように表示されちゃっていました。ロゴの大きさの問題もあるけど、主張が激しすぎますね。

でも前回までにやってきた新画面デザインへの設定の結果、シンプルでクールなデザインに変わっているし、今ならロゴがいい感じに表示されるかもしれません。次のように画像を設定して、ロゴ非表示のチェックを外してみます。

[保存]してからプレビューしてみた結果は次のようになりました。

やっぱり主張しすぎています。慎ましさのカケラもないロゴです。ロゴのデザインが稚拙だからとか言わないであげてください。筆者が泣きます。

Gluegent Gateの旧画面ではどうだったでしょうか。タイトルヘッダーのデザインは旧画面を真似てみたものでした。もう一度見直してみましょう。

タイトルヘッダーにはGluegent Gateという文字の前にロゴ画像が入っていますね。そういえば、新デザインにしたら、こうなるのかなーと設定から想像したら違っていたんでしたね。

ぜひとも自社ロゴをタイトルヘッダーをこんな感じに表示したいですね。


まずは主張の激しいロゴのHTMLを見てみましょう!

ブラウザでF12キーを押してHTML構造を覗いてみると、ログインロゴが見つかります。丁寧にコメントも入っています。この login__logoというクラスを持ったdiv要素のスタイルを、タイトルヘッダーの位置に表示するよう変えていきましょう。

タイトルヘッダーは連載第二回で次のようなスタイルシートで実現していました。

<style>
#header_inner {
  background-color: black;
  color: white;
  font-size: large;
  font-weight: bold;
  padding: 1ex;
  position: fixed;
  width: 100%;
  z-index: 1;
  border-bottom: solid 4px #1458b7;
}
</style>

配置のためのポイントとなるのは、position: fixed です。これは画面がたとえスクロールされても絶対に固定された位置に表示するというものです。ロゴ画像もこれに準じましょう。

次に z-index: 1 があります。これは標準の表示要素より1つ前面に配置するということを示しています。スクロールなどでフォームが重なると次のような違いが出ます。


z-index: 1z-index: 0

ロゴ画像はタイトルヘッダーの上に配置するので、z-index: 2 にするのが良さそうです。

ロゴのスタイルを変えていこう!

タイトルヘッダーのスタイルを踏まえて、先程あったlogin__logoというクラスの要素のスタイルを設定するスタイルシートを書いていきます。

ロゴ画像の表示位置は、leftとtopで指定しています。指定しないと画面左上隅ぴったりにロゴ画像がくっついて宜しくないので1文字半ほどの幅(1.5ex)で調整します。

また、画像のサイズはタイトルヘッダーにある「加藤商店」の文字高さに合わせたいので、heightで全角2文字分の高さに指定してみました。

タイトルヘッダーのスタイルを踏まえて、先程あったlogin__logoというクラスの要素のスタイルを設定するスタイルシートを書いていきます。

ロゴ画像の表示位置は、leftとtopで指定しています。指定しないと画面左上隅ぴったりにロゴ画像がくっついて宜しくないので1文字半ほどの幅(1.5ex)で調整します。

また、画像のサイズはタイトルヘッダーにある「加藤商店」の文字高さに合わせたいので、heightで全角2文字分の高さに指定してみました。

<style>
.login__logo {
  position: fixed;
  left: 1.5ex;
  top: 1.5ex;
  z-index: 2;
}
.login__logo img {
  height: 2em;
}
</style>

これを[画面上部HTML]に追記してプレビューしてみましょう。

加藤酒造の文字の上にロゴ画像が現れました。成功です!

いや…違いますね。上じゃアカン。ロゴ画像の位置は良さそうですが、加藤酒造というタイトルと重なってしまっています。

加藤酒造をもう少し右にずらしてみましょう。

すでに[画面上部HTML]に記述されているタイトルヘッダーのスタイル定義文に、次のように一文だけ追記してください。これによってタイトルの左側に5文字程のスペースができます。

<style>
#header_inner {
  background-color: black;
  color: white;
  font-size: large;
  font-weight: bold;
  padding: 1ex;
  position: fixed;
  width: 100%;
  z-index: 1;
  border-bottom: solid 4px #1458b7;

  padding-left: 5ex;

}
</style>

aaもしくは、すでにある padding: 1px; を、padding: 1px 1px 1px 5ex; に置き換えても同じ効果があります。どちらでもお好みで。

プレビューしてみましょう。

今度はうまくいきましたね!これで保存すれば、おしまいデス!(いまさら半沢直樹の大和田常務)

グランドフィナーレ

画面デザイン連載はひとまず今回で終了です。

自分の説明不足を読解力任せにする感が強い、あまり言いたくないフレーズだけど他にこのタイミングで適切な言葉が思い浮かばなかったので敢えて使いますが、いかがだったでしょうか?(笑)

Gluegent Gateの画面デザインを完全に操るのはマークアップエンジニアの領域に踏み込まないと難しいということは稚拙ながらも伝えられたという所感でいます。

一昔前と違い、Chromeをはじめとするモダンブラウザでは実際に動作しているWebページにリアルタイムにマークアップスクリプトを記述してみて変化を確認するということが可能になっています。そのため、お客様のGateログイン画面が表示されるまでの手順を伝えて、ログイン画面への追加スクリプトを外部委託する、もしくは社内のエンジニアに委託するのも容易です。

担当者に本連載を紹介して参考にして進めてもらえれば、筆者の例よりもっと素晴らしい御社の顔となる独自のログイン画面になることでしょう。

ぜひ、Gluegent Gateの新画面デザインを使い倒してみてください!

エンジニアCoE/Gluegent SL 加藤
  Gluegent Gate

2021年2月17日水曜日

形だけのセキュリティ対策してませんか?思考停止がインシデントを招きます

新型コロナウイルスの感染が拡大し、働き方にも大きな変化がありました。みなさんの職場では、それに合わせてセキュリティ対策を見直していますか?今回の記事では、セキュリティ対策の目的や効果を見直し続けることの意味を考えてみたいと思います。



環境は変わり続ける

私達は、仕事の時間だけに限らず、プライベートの時間でも、情報システムに接しながら生活しています。以前は、会社のメールは会社だけで送受信できるものでしたが、モバイルデバイスで、移動中にも情報にアクセスできるようになり、最近では、テレワークとして、家庭でも、ビジネスに関わる情報を扱うことが多くなっています。また、利用するサービスも、オンプレミスの社内システムから、クラウドサービスへと、大きく利用形態が変化しています。これからも、様々な側面で環境は変わり続けることが予想されます。

一方で、その変わり続ける環境で扱われる情報は、より広範になっていますし、重要度が高いものも扱われるようになっています。当然、その情報を守るために、様々な情報セキュリティ対策が施されてきました。ただ、その対策は、いつまでも十分と言えるでしょうか。情報システムや、その利用者を取り巻く環境が変わり続けているのに、情報セキュリティ対策はそれに追随できているでしょうか。

常識も変わる

少し前に、「パスワードの定期的な変更」は、非推奨となりました。この件については、このブログでも触れています。長らく有効なセキュリティ対策として、多くの情報システムのパスワードポリシーで取り入れられてきた「常識」です。

また、直近では、「メールの添付ファイルは暗号化し、パスワードは別メールで送る」という「常識」も、覆りつつあります。いわゆる「PPAP問題」です。PPAPについては、名付けの秀逸さもあって、大きく取り上げられましたし、大臣が言及し、政府が全面禁止したり、PPAPを自動化するサービスを展開する企業が禁止に転じるなど、大きな変化がありました。日本のビジネス社会では、マナーとして、「常識」となっていましたが、その常識も変わりつつあります。

ポーズだけの対策になってませんか?

前項で上げた二つの常識とされていたセキュリティ対策は、古くからその効果に疑問の声があがっていました。主にセキュリティの専門家からそのような意見が出されても、大きな組織が採用するセキュリティ対策としては、パスワードは定期的に変えるものだし、添付メールは暗号化するものだとされていました。「常識」として推奨されていましたし、どこでもそうやっていたからです。末端の利用者は、「これって意味ないよね?」と思いながらも(あるいは何も考えずに)、「ルールだから」として従ってきた形です。特に、PPAPは、日本のみの「ビジネスマナー」として、「効果がある」ものとされ、マナーを越えて、ルール化されてきました。PPAPの操作をすることが手間であることから、それを自動化するサービスまで提供され、独自の進化をしたと言えるでしょう。

ただ、よく考えると、その問題点は明らかで、セキュリティ強化の効果が薄く、場合によってはセキュリティインシデントを誘発するものになります。PPAPの問題点については、それだけで一つの記事になりますし、多くの解説記事があるので、ここでは触れません。この記事で考えたいのは、

「実はあんまり効果ないの知ってたけど、ルール化してたよね?」

という点です。「自分はその効果に疑問だけど、世の中的なルールになってる上に、それで良いことになってるから、自分の組織でもルールにしておく」としていませんか。ここで見えるのは、「言い訳のため」、あるいは「ポーズだけ」の対策で、本来見込まれる効果が得られない上に、余計なコストや手間を現場に強いる不合理です。結果的に働く現場の時間を奪い、モチベーションを下げることになっていないでしょうか。問題が起きた時には、世の中的に良いとされているルールを課していたという言い訳をするためのように思えます。

自ら考えることを放棄せず、責任をもつこと

二つの効果がうすいセキュリティ対策の常識が覆ったのは、大きな話題になったり、公的機関が判断を下したことの影響が大きいと言えます。横並びの行動を取りがちな日本の企業にとっては、大きな効果があります。それも隣に揃えただけの考えなしの行動であれば、褒められたものではありませんが、結果的に社会全体のセキュリティに寄与することとなり、悪いことではなさそうです。

ただし、やはり自分で考えることと、その結果に責任をもつことは、全ての側面において大事であると思います。これからも加速するであろう環境に変化に対して、常に自分で考え続けなければ、問題に対応できません。誰かに考えるのを任せて、思考停止し、世の中の常識に囚われたままであれば、重大な問題につながることがあります。その時に「みんながこうやってたから」という言い訳は、意味がありません。

一定の条件を前提として、考えるべき領域を限定することは、パフォーマンスを上げるためには有効な方法です。常に一から全部考えて検証していては、結論に至るまで、時間と手間がかかりすぎます。考えるべき領域を限定することは、その領域について、より深く考え、より良い結果を生むことにつながります。ただ、前提としている状況は、変化していくことがあります。情報セキュリティの分野においては、常に前提が変わっていると考えて良いかも知れません。前提条件が変わっていることを知りながら、そこに連なる思考を改めないのであれば、望まぬ結果を招くことになりますし、責務を果たしたとは言えません。

セキュリティのトレードオフとソリューション

セキュリティ対策と利便性は、相反することが多くあります。ユーザがひと手間かけたり、管理者が運用を頑張ることで、セキュリティを確保しているケースも多いことでしょう。せっかく手間やコストをかけるのであれば、正しくセキュリティを向上させる方法をとる方が良いでしょう。効果がうすいけど、取引先のセキュリティチェックシートで丸をつけるためだけにユーザに手間をかけさせるのは、正しい方法ではありません。その効果に疑問をもつユーザに無力感を抱かせ、モチベーションを大きく損なうことになります。効果がない方策よりも、効果が見込める方策を考え、その結果に対して責任を持つことがルールを課す側の仕事と言えます。

セキュリティを確保したまま、ユーザには手間をかけさせないソリューションは多くあります。弊社が提供する、Gluegent Gateは、IDaaSとして、高い水準でこれらを両立させることができます。また、Gluegent Flowを使えば、テレワークでも安全に業務を進めることができます。ただ、このようなソリューションを導入したとしても、考えずに使っているだけでは、真の意味で、その価値を享受しているとは言えません。今後も状況は変化し続け、どこまで行っても、もうこれで決定版だから、考えなくても良いという状況にはならないでしょう。弊社もサービス・プロバイダとして、様々な状況や考え方に対応できるようにサービスを充実させてまいります。お客様が自分の組織のセキュリティについて、深く考え、対応する支援をさせていただきます。ぜひご相談ください。

(ま)
  Gluegent Gate

2021年2月10日水曜日

【Gluegent Gate】新画面デザインに移行しよう!《その3》

この連載について

Gluegent Gateを採用している企業様に向けた、Gluegent Gateを使いこなすHowToをお伝えしていきます。

対象読者について

本連載では、解説上、WebのフロントUIの技術であるHTML、スタイルシート(CSS)、JavaScriptに触れるものが含まれますが、これらの技術への深い知識は必要としません。サンプルとしてテキストをコピーしてご利用中のGluegent Gateにそのまま設定していただくことで少しずつ理解を深められるように配慮します。

バックナンバー

今回のお題

「入力フォームのデザインを変えたい!」

旧デザインと新デザインのフォームは構造が違う!

旧デザインのログインフォームは表のHTML要素を使っていました。表は列と行で構成されています。一方、新デザインのログインフォームは説明リストのHTML要素を使っています。説明リストは説明の対象と説明文で構成されています。


スタイルシートをあてない場合、両者の表示イメージは以下のようになります。




<table>

  <tr>

    <td>ユーザー名</td>

    <td><input type=”text”></td>

  </tr>

  <tr>

    <td>パスワード</td>

    <td><input type=”password”></td>

  </tr>

  <tr>

    <td colspan=”2”>

      <button>ログイン</button>

    </td>

  </tr>

</table>

説明リスト

<dl>
  <dt>ユーザ名</dt>
  <dd><input type="text"></dd>
</dl>
<dl>
  <dt>パスワード</dt>
  <dd><input type="password"></dd>
</dl>
<div>
  <button>ログイン</button>
</div>



表の場合は行と列を厳密に記述することに向いています。一方、説明リストは説明の対象は太字で定義され改行に続けて段落をあけて説明文が配置されるようになっています。

このように説明文リストは、用語集や注釈文などの記述への用途に向いています。

新デザインでなぜフォームの構造を変えたのか?

この違いは、第一回で触れた「レスポンシブデザイン」への対応が理由です。

表の場合、列や行を示す要素が厳密なため、画面の大きさの変化によって列だった要素を行に置き換えたり行だったものを列に置き換えると行ったスタイル変更が難しくなります。

一方、説明リストの場合は、説明対象を画面が大きければを改行せず、画面が小さければ改行するという変更だけで、あとはスタイルシートでデザインを調整するだけで済みます。

新デザインの入力フォームを観察してみよう

下図が新デザインの入力フォームですが、HTMLを覗いて当てられたスタイルをよく見てみます。



ラベルと入力欄を1セットと使用している dl 要素は草緑色で、入力欄を含む dd要素には淡い草緑色で塗りつぶされていました。ラベルを含む dt要素は透明の背景でした。そのためdl要素の草緑色が見えているという形です。

dt要素は左右マージンがautoにされているため、左右中央に配置されています。

サイトヘッダーで背景色を黒にしているので、今回はこれら緑系の背景色は避けたいところです。背景色を使わなくてもラベルと入力欄の1セットがちゃんとわかるようデザインしていきます。

シンプルなデザインにしてみよう

前回タイトルヘッダーを「加藤酒造」に変えました。それに引き続いて修正を加えていくことにします。次のように入力フォームのデザインをシンプルにして全体のバランスを取ったものが完成イメージになります。




1つ目がスマートフォンのように狭い画面、2つ目がPCのように広い画面での表示イメージです。

このような入力フォームにするには、次のスタイルシートを示すテキストを[画面上部HTML]に追記することで実現できます。

<style type="text/css">

form#login dl,

form#login dl dd {

  background-color: transparent;

}

form#login dl {

  border-bottom: solid 2px #1458b7;

  color: #1458b7;

}

form#login dl dt {

  margin-left: 0;

  padding-bottom: 0;

}

</style>

このスタイルシートは新画面の実際のHTMLを見ながら書いたものです。 このスタイルシートが何をしているのか詳しく知りたいという方のために解説します。 コピペで済ますから細かいことはいいやーって方は読み飛ばしてください。

form#loginという記述は、「idがloginとなっているform要素の中の…」という意味になります。スタイルシートは同じ要素に対して複数のスタイル定義が存在した場合、より限定的な記述をしている方が優先されるという特徴があります。すでに使用されている緑系スタイルを上書きするために限定的に修飾して記述しました。

前述した新デザインのHTML構造を参照してみると、dl要素の中に dt要素、dd要素がありました。dl要素は dt要素とdd要素を束ねる説明リストの単位です。dt要素には説明対象、dd要素は説明文に使うものとお伝えしました。[ユーザー][パスワード]という言葉が入っているのはdtで、入力ボックスが入っているのはddです。

最初にログインフォーム要素内の、dl要素とdd要素の背景色を透明にすることで(background-color: transparent)、草緑も淡い草緑も無くしています。 しかしそうなると、[ユーザー][パスワード]の文字色が白のままで文字が見えなくなってしまうので、次のdl要素単独の定義で文字色を紺色(#1458b7)にしています。この紺色はページヘッダーの下線のデザインで使われていた色値です。同じ色値にすることでページ上での一体感を持たせています。また、ラベルと入力が1セットということがわかりやすくなるために下線を引いています(border-bottomで指定)。下線も同じ紺色を使っています。

最後のdt要素への定義は、左右中央に配置されていたラベルを左寄せにすること(margin-left: 0)と、背景が透明になったおかげでラベルと入力欄が遠くなるため間隔を若干狭めています(padding-botom: 0)。

スタイルシートの解説は以上になります。色を変えたり下線を無くしたりするのは簡単ですので、ログインフォームをお客様の会社らしいデザインになるようチャレンジしてみてください。

シンプルにはなったけど…

今度はシンプルになりすぎて自社らしさというかコーポレートカラー感が出せなくなってしまいました。そういえば、第二回でタイトルヘッダーを表示させた際に、新デザインでは画面の真ん中にドーンとロゴ画像が出たのが目立ちすぎるから削りました。

真ん中ドーンではなく、旧デザインのタイトルヘッダーにあったGluegent Gateロゴが自社ロゴになったらシンプルながらも自社らしさがでるかもしれませんね。 …と、次の課題が見えたところで今回はここまでといたします。

次回予告

自社ロゴをタイトルヘッダーに表示したい!」をお送りします。乞うご期待!

エンジニアCoE/Gluegent SL 加藤
  Gluegent Gate

2021年2月3日水曜日

【はじめよう】ADを活用した認証でゼロトラストへの第一歩

現在、「ゼロトラスト」という言葉が少しずつ浸透してきているように思われます。実はこのブログでも、過去にいくつか記事となっていますので、興味のあるかたはそちらもご参照ください。

【5分で分る】ゼロトラストとは何か

アメリカ人から見た「ゼロトラスト移行」

【2020版ゼロトラストの現実的アプローチ】

【ゼロトラスト】最重要なのは、守るべき資産が何かを理解し、フォーカスし続けること

昨今の状況におけるオンプレADの課題

さて今回の記事では、認証基盤としてオンプレのADを導入済みで、Microsoft 365等のビジネス系クラウドサービスを利用しており、その上で「ゼロトラストの導入を検討しよう」というケースが対象となります。オンプレ環境でADを導入されているということは、導入時は「特定のオフィス内でWindowsマシンを使用した作業」だったと思われます。ですが昨今、クライアントとしてMacやChromebook、スマホやタブレット等、WindowsPC以外の端末が増えてきました。これらの端末は、ADのドメイン参加が難しく、「WindowsPCのみ認証基盤に参加できている」という中途半端なものになりがちです。また、テレワークの浸透によって「オンプレADのネットワーク外」からドメイン参加しようとした場合、VPN接続等を検討することになりますが、そのVPN自体の構築や運用コストも重くなってしまうことが予想されます。

課題を解決しつつ、ゼロトラストへの第一歩

そこで、上記のような課題を解決するために、弊社Gluegent GateのAD連携オプションをご紹介したいと思います。前提として、PCについてはドメインへのログインではなく、ローカルログインとします。つまりPC(スマホやタブレットも含めて)はクラウドサービスを利用するための端末とみなし、作業はすべてクラウドサービスで行うイメージとなります。その上で、「どのユーザがどんなサービスをアクセス出来るか」を管理下に置くことにより、「ゼロトラスト」環境構築の第一歩へと繋がります。つまり、「ユーザへの必要 最小限の権限付与」を実現出来ます。また、クライアント証明書による端末管理により、「デバイスの安全」も確保できます。ではGluegent Gateによって、どのようにその状態を実現していくのでしょうか。

AD資産をGluegent Gateでそのまま活用

まず、AD連携オプションをご契約いただきますと、オンプレADのユーザ/グループ情報をGluegent Gateへ定期的に同期することが可能となります。
(※特定IPからADへ接続可能状態としていただく必要がございます。)
そして、Gluegent Gate側ではクラウドサービスへのSSOの連携設定を行います。
(※SSOについてはこちらの記事などをご参照ください。)

その結果、ユーザ視点の操作で言えば、以下のような流れとなります。

「クラウドサービスへログインすると、ADと同じID/パスワードで認証して、そのままクラウドサービスが使える。」

ということが実現できます。更に、管理者側としても、従前と同様に使い慣れたADへの管理に集中できますので、これまでの運用ノウハウがそのまま活かせることになります。また、先程課題に挙げたVPNの構築も不要で、通常のインターネット接続でご利用可能です。

よりセキュアに、より便利に

ゼロトラスト視点で言えば、「許可された端末」からのアクセスであるかの確保も重要です。そこで、Gluegent Gateの端末認証オプションをご契約いただくことにより、「ID/パスワード+クライアント証明書」という多要素認証を構築することで、より強固なセキュリティ環境を構築することも可能となります。
またGluegent Gateは、多数のクラウドサービスとの連携実績がございます。
(※https://www.gluegent.com/service/workswith/)
前節AD連携/端末認証設定、そして複数のクラウドサービスとSSO連携設定を行っていただくことにより、最終的に以下のような流れとなります。

「クライアント証明書がインストールされた端末でのみ、連携設定されたクラウドサービスへログイン可能で、その際は全てADと同じID/パスワードで認証出来、そのままクラウドサービスが使える。」


テレワークでのクラウドサービス利用の比重がますます増えていく傾向にある昨今、「セキュリティ強化」も「ユーザの利便性」も「運用の負荷軽減」も全て考慮した環境を構築することが重要になっていくことが予想されます。そこでGluegent Gateをご導入いただくことにより、それらの要素をバランスよく満たしたソリューションをご提供出来るかと思います。
ご興味がありましたら、是非お問い合わせください。
(Fuji) 


 

2021年1月27日水曜日

Gluegent GateとAWS IAMのID プロバイダを連携しましょう

こんにちは、サイオステクノロジーGluegentサービスラインのジャレド・ウォレスです。少し前のGluegent GateとAWS Cognito認証の連携に続いて、今週はGluegent GateとAWS IAMのID プロバイダのフェデレーション連携の設定方法をご紹介していきたいと思います。AWSのサーバー管理画面や他リソースの管理を行うAWS Management Consoleアカウントへの連携となります。


AWS IAMのID プロバイダ連携イメージ

まず、IAMのID プロバイダフェデレーション登録で何ができるかを把握しましょう。IAMの新ユーザーを作るのではなく、登録するID プロバイダ側でログインできるユーザーに特定のIAMロール(権限)を貸し与えるイメージをしてください。IAMの都合上、IAMユーザーへの紐づけ、プロビジョニング、ユーザーごとに細かい権限設定などは行えません。では、早速設定してみましょう。

Gluegent Gate管理画面での設定

Gluegent GateでのSAML設定を行うために、AWSのメタデータを取得する必要があります。
こちらのリンクで取得することができます。右クリックし、ファイルとして保存するか、ブラウザーでアクセスしてから保存してください。

次にGluegent Gateの管理コンソールにアクセスし、SAMLサービス設定を行いましょう。

シングルサインオン→SAML→登録

SAML設定登録画面が表示されます。下の方にメタデータの欄にファイルアップロードのボタンをクリックし、先程取得したAWSメタデータのファイルをアップロードし、読み込むボタンを押してください。すると、以下のような画面になります。 
 

アクセス先URLは以下の固定値を記入します。
https://auth.gluegent.net/saml/saml2/idp/SSOService.php?spentityid=urn%3Aamazon%3Awebservices

最後にサービスID欄に適切なIDを入力し、保存します。

SAML一覧画面に戻ります。次のステップにGluegent Gateのメタデータも必要になるため、このタイミングで取得しましょう。

シングルサインオン→SAMLで現在のページ)→設定→メタデータ欄にダウンロードボタンをクリックして、ファイルに保存しましょう。
 

AWS Management Consoleでの設定

先程取得したGluegent Gateのメタデータを利用し、AWSでGluegent GateをIAMのID プロバイダ登録を行います。まず適切な権限を持っているアカウントでAWS Management Consoleにログインします。そこからIAMのID プロバイダー画面にアクセスします。

IAM→アクセス管理→ID プロバイダ

ここからプロバイダを追加ボタンを押して、以下のID プロバイダ画面が表示されます。
 
 
プロバイダのタイプはSAMLのままにし、適切なプロバイダ名を定義します。
また、ファイルを選択ボタンをクリックし、先程取得したGluegent Gateのメタデータをアップロードし、プロバイダを追加で登録が完了します。

ID プロバイダ用のロール作成

ここまででID プロバイダの登録が完了しました。これからは登録したID プロバイダのフェデレーションユーザーが利用することになるロールを作成し、ID プロバイダに割り当てます。

ID プロバイダ一覧から登録したID プロバイダをクリックし、詳細画面が表示されます。
 
 
ロールを作成する前に、概要にあるARNのアイコンをクリックすることでコピーし、ノートパッドなどに記録してください。最後のステップに使います。

右上のロールの割り当てボタンをクリックし、新しいロールを作成を選択します。また、使用したいロールが作成済みであれば既存のロールを使用するでも構いません。
 
次のステップに進んで、ポリシーを選択、またはポリシーを新しく作成します。
ポリシーの権限はお客様のニーズやフェデレーションユーザーのユースケースによりますので、適切なポリシーの作成をご検討ください。この記事では例としてAWSの作成済みPowerUserAccessポリシーを使用します。
 
次の画面では Name:Gluegent Gate Role などご希望のタグを付けてください。

適切なロール名を定義しロールを作成で完了します。
 
 
作成が完了したら、ロールの詳細画面が表示されます。
 
 この画面にあるロール ARNは次のステップに使いますので、ID プロバイダのARNと一緒に記録して保存してください。

SAML属性の設定

最後のステップはGluegent Gateの管理画面からSAML属性の設定を行います。そのために、以前保存した、AWSで登録したID プロバイダと作成したロールのARN(Amazon Resource Name)が必要です。

Gluegent Gateの管理画面に戻り、SAMLの設定画面へアクセスします。

シングルサイン→SAML→{設定したサービス名}

送信する属性ユーザーIDに☑を入れ、属性名を以下の値にしてください。
https://aws.amazon.com/SAML/Attributes/RoleSessionName

また、送信する属性(固定値)に以下の属性を追加してください。
属性名 https://aws.amazon.com/SAML/Attributes/Role
ID プロバイダのARN,ロール名のARN

値の例:
arn:aws:iam::123456789012:role/example-glg-user,arn:aws:iam::123456789012:saml-provider/example-glg

そうすると、管理画面が以下のようになります。
 
 
保存したら、設定が終わります。 

ポータルからログインしましょう!

Gluegent Gate管理画面でユーザーにアクセスし、新しく登録したAWS Management Consoleサービスを許可します。

許可したユーザーのGluegent Gateのユーザーポータルにアクセスし、AWS Management Consoleが表示されます。
 

 
AWS Management Consoleをクリックし、SAML認証を通って自動的にAWS Management Consoleにログインされます!

まとめ

いかがでしょうか。このようにGluegent GateとAWS IAMのID プロバイダを連携することでAWS Managment Consoleへのアクセスをよりセキュアで便利にできます。また、AWS Management Console以外にもS3 Bucketなどのリソースのアクセスを許可することができるため、是非色々試してみてください。

  ジャレド・ウォレス