2018年10月16日火曜日

IDaaSとは、何か? (5) 〜使えるように準備する〜

IDaaSについて紐解く人気シリーズ「IDaaSとは何か」の一回目の記事、[IDaaSとは、何か(1)」で、以下の機能があるとご紹介しました。

  • 保存:Identityに関する情報を保存・管理する。
  • 認証:利用者が誰なのかを管理する。
  • 認可:利用者が許可されているサービスやリソースを管理する。
  • プロビジョニング: 利用者が許可されているサービスに対して、アカウントを管理する。

前回は、IDaaSとは、何か? (4) 〜どのサービスを使わせるか〜として、「認可」について、見てみました。今回は、「プロビジョニング」です。


プロビジョニングってなに?

プロビジョニング(provisioning)とは、広義では、サーバやサーバのリソース等を使えるようにするという意味ですが、IDaaSの文脈では、「対象サービスでアカウントを準備し、ユーザが利用できるようにする」といった意味合いです。
前回までの記事で見てきた通り、IDaaSでは、IDentityに関する情報を「保存」していて、その情報に基づいて、利用者が誰かを「認証」によって明らかにします。さらに、明らかになったユーザにどのサービスが許可されているかを「認可」によって、確認します。ただ、認可されているサービスがわかったとしても、そのサービスの方では、まだ利用可能な状態に準備されていません。ここで、「利用可能な状態に準備する」という処理がプロビジョニングです。IDaaSが持つ情報を使って、対象サービスにアカウントを作成し、利用できる状態にします。

プロビジョニングまで出来て一気通貫

プロビジョニングまで出来れば、なにもない状態から、利用者にサービスを利用させる準備が整うところまでの処理が一通り揃うということになります。例をあげてみましょう。
例えば、営業担当にGmailとSalesforceを利用させる会社に、社員が入社したとします。IDaaSが導入されていなければ、GmailとSalesforceの双方に、アカウントを個別に作成する必要があります。IDaaSを導入していて、Gmailと、Salesforceにプロビジョニング連携設定ができていれば、IDaaSで、アカウントを作成し、GmailとSalesforceを認可してあげることで、GmailとSalesforceにも、自動的にアカウントが作成され、利用可能な状態になります。その上、認証は、IDaaSがシングルサインオンでまとめるので、個別にログインする必要はありませんし、パスワードの管理も不要です。利用するサービスが複数ある場合でも、IDaaSに登録して、認可するだけで、入社準備が完了するということになります。

準備だけでなく、更新や、利用中止まで

プロビジョニングは、利用を準備するという処理だけに注目が集まり勝ちですが、運用していく上で重要なのは、情報の更新や、利用の中止についても、管理できるという点です。情報は、運用していく中で、更新されることもありますし、削除されることもあります。IDaaSが対象サービスに対して、プロビジョニングをサポートしている場合、IDaaSで情報を更新することで、認可されているサービスに情報が伝搬します。
先の例で言えば、営業担当者の姓が変わった場合、IDaaSで変更することで、Gmail、Salesforceの情報も更新されます。さらに、異動により、営業部を離れるとすると、Salesforceは利用しなくなります。ただ、Gmailはそのまま利用します。そのようなケースでは、IDaaSで、Salesforceの利用する設定を外すことで、Salesforce側のアカウントは利用停止状態となります。
退職や、異動により、利用していたサービスを利用できない状態にするということは、利用開始時に比べて、軽視されやすいものですが、セキュリティの観点に立つと、非常に重要な意味を持ちます。

すべてを一箇所で

ここまで見てきたように、プロビジョニングがサポートされていると、IDaaS上の情報のみを適切に管理することで、連携するサービス上のアカウントを管理することができます。昨今のクラウドサービスは、高度な単機能を提供するものが多くあります。そのため、必要なサービスを必要に利用者だけに必要な期間だけ提供するという運用が求められます。そのような運用をするためには、個別のサービス上で、それぞれアカウントを管理するのは、現実的ではありません。利用可能にすることが出来ても、適切に利用できないようにするという処理を徹底するのは、難しいでしょう。退職者のアカウントを削除し忘れていて、利用できるようになっていたという状況は避けなくてはなりません。
そのような要件を満たすのが、プロビジョニング機能を備えたIDaaSです。一箇所だけ注意しておくことで、迅速なサービス利用準備と高いセキュリティを実現できます。

シングルサインオン

今回掘り下げたプロビジョニングまでできることで、利用準備を整えられました。次回は準備できた環境を使うにあたって、高い利便性をユーザに提供すると同時に、高度なセキュリティも実現する、「シングルサインオン」について、掘り下げてみます。

   Gluegent Gate


2018年10月10日水曜日

【新しいGoogleサイト活用キャンペーン予告】9月のまとめ

9月のGluegentシリーズのリリースや、各種情報のまとめです。



『新しい Google サイト活用キャンペーン』を提供予定です

新しい Google サイトに対応した、Gluegent Gadgetsの一部機能を無償提供するキャンペーンを予定しています。
『新しい Google サイト活用キャンペーン』予告 〜 新しい Google サイトに対応した Gluegent Gadgets を無償提供 〜

グループキャッシュ更新スケジュールの設定が可能になりました

Gluegent Flowの「グループキャッシュ」の更新スケジュールをお客様の管理画面から設定することができるようになりました。
Gluegent Flow リリースのお知らせ(2018/09/20)

Gluegent Gate のパスワードポリシーで使用文字種数を設定できるようになりました


より柔軟なパスワードポリシーの設定が可能です。
Gluegent Gate リリースのお知らせ(2018/09/06)

 Gluegent Gate

2018年10月9日火曜日

色々なクラウドサービスとシングルサインオン(SSO)を設定してみよう - Office 365編 -(2018年版)

弊社が提供するGluegent Gateは、シングルサインオン・ID管理・アクセス制御の機能を兼ね備えたクラウドサービスです。現在、多くのサービスが、SAML 2.0という認証連携の標準規格に対応しておりますが、Gluegent GateではこのSAML 2.0という規格を利用して様々なクラウドサービス(G Suite(旧Google Apps)、Office 365、Salesforce、Dropbox、Box、サイボウズ等)とのシングルサインオンを実現しています。認証をGluegent Gateに集約し、そこでアクセス制御を行うことにより、各種クラウドサービスを横断的にセキュリティ強化することが可能となります。

さて、今日はOffice 365とシングルサインオンを行うための設定手順について取り上げたいと思います。

※この記事は2017年6月に公開した記事の画像を最新版にしたものです。

前提条件

まず、Gluegent GateがOffice 365とシングルサインオンできるようにするためには、以下の作業が完了している必要があります。

    <Office 365とシングルサインオン連携するための前提条件>
  1. Office 365に連携するドメイン名(xxx.onmicrosoft.com以外)が登録済であること
  2. Gluegent Gateにユーザ/グループが登録済であること
  3. Gluegent Gateに認証/認可ルールが定義済であること

No.1が特に重要です。Office 365と連携するためにはxxx.onmicrosoft.com以外のドメインをOffice 365のドメインとして登録しておくことが必要です。またxxx.onmicrosoft.comは「既定」として設定しておきます。

 Office 365管理センターのドメイン設定画面設定例


シングルサインオン設定手順の流れ

Office 365とのシングルサインオンを行うための設定手順は以下の通りです。G Suiteと違い、IdP証明書登録作業は必要ありません。

    <シングルサインオン設定手順>
  1. Gluegent GateのSSO設定画面で各種設定項目を入力する
  2. Gluegent Gateのユーザ設定画面でOffice 365に関する設定を行う
以下に詳しく説明していきます。

手順1. Gluegent GateのSSO設定画面で各種設定項目を入力する

Gluegent Gateへログイン後、以下の作業を行います。

  1. 画面左側メニューの「シングルサインオン」をクリックします。
  2. 「クラウドサービス」をクリックします。
  3. 「Office 365」をクリックします。
  4. 設定項目を入力します。
    • 設定画面ではメールボックスに関する設定もできますが、本稿ではシングルサインオンに必要な設定のみ行っています
  5. 保存ボタンをクリックします。
設定項目の説明
No.
設定項目
設定内容
1
シングルサインオンの設定
「有効」にチェック
2
Office 365ドメイン (必須)
Office 365と連携するドメイン名を入力
(xxx.onmicrosoft.com以外)
3
ID同期 
「有効」にチェック
4
Office 365管理アカウント名 (必須) 
Office 365の管理権限を持つxxx.onmicrosoft.comドメインのユーザを入力
5
管理者アカウントのパスワード
上記No.4で設定した管理者アカウントのパスワードを入力
6
ユーザ名の属性
Office 365との連携にGluegent Gateユーザ情報のメールアドレスまたはユーザIDのどちらを利用するか指定
7
シングルサインオンの方式
「SAML」「WS-Federation」のどちらかを指定
(通常は「WS-Federation」を指定)

上記設定の中で、No.2, No.4は間違いやすいところなので気をつけましょう。

手順2. Gluegent Gateのユーザ設定画面でOffice 365に関する設定を行う
Office 365と連携するためのユーザを指定します。
  1. 画面左側メニューの「ユーザ」をクリックします。
  2. ユーザ一覧からOffice 365と連携したいユーザを選択します。
  3. 以下の設定を行います。
    • メールアドレス
      • Office 365で登録したドメイン名を持つユーザのメールアドレスを入力
    • 許可するサービス
      • 「Office 365」にチェックを付与
    • Office 365のロール
      • Office 365側のライセンスを指定
      • ※この設定欄が表示されるまでSSO設定後最大45分間かかる場合があります
  4. 保存ボタンをクリックします。
  5. 連携したいユーザについて上記No.2〜4を繰り返します


設定後の確認

設定が一通り完了したら、動作確認を行ってみます。

  1. Webブラウザのプライベートモードによるウィンドウを表示し、ロケーションバーに「https://portal.office.com」を入力し、アクセスします。
  2. Office 365の認証画面でGluegent Gateで連携ユーザとして設定したユーザのメールアドレスをユーザIDに入力し「次へ」をクリックします。
  3. するとログイン画面にリダイレクトされますので、Gluegent Gateで登録したユーザID/パスワードを入力後、ログインします。
  4. ログイン後、Office 365が表示できたら成功です。


いかがだったでしょうか。上記のような設定でOffice 365とのシングルサインオンがGluegent Gateで簡単に実現できることがお分かりいただけたかと思います。次回も他サービスとのSSOに関する設定方法についてご紹介していきますのでお楽しみに。

 Gluegent Gate


2018年10月2日火曜日

今日から始めるクラウド型ワークフローGluegent Flow(アクセス権限・採番ルール)

Gluegent FlowはG Suite (旧Google Apps)やOffice 365と連携することができるクラウド型ワークフローです。
本記事では前回の記事に続いて、G Suiteをご利用している中小規模の情報システム担当者の方を対象に、
Gluegent Flowを利用するにあたって必要となる導入・準備作業について、ワークフローに対するアクセス権限や採番ルールの設定をどのように行っていくか、ご説明していきます。

<前回の記事>
 今日から始めるクラウド型ワークフローGluegent Flow(インストール・初期設定)

Gluegent Flow導入時の準備作業

Gluegent Flowをご利用いただく際に必要となる導入時の作業内容は以下の通りです。
  1. Gluegent FlowをG Suiteにインストールする
  2. 組織階層をGoogleグループで定義する
  3. 初期設定を行う
  4. ワークフローをグルーピングするための「カテゴリ」を定義する
  5. 番号の採番ルール「シーケンス」を定義する
  6. 承認時の上長を自動判別するための「ロール」を定義する
  7. マスタデータをスプレッドシートに定義する
本記事では、上記No.4〜5の設定内容についてご説明します。

No.1〜3の内容に関しては前回の記事をご覧ください

ワークフローのグルーピングするため「カテゴリ」を定義する

稟議書や経費精算等、ワークフローの定義数が多くなってくると、新規申請時にワークフローの一覧から選択するのが分かりづらくなります。そのため、ワークフロー管理者は用途毎にワークフローを分類・表示できるようにすることでユーザが迷わず申請できるようにしたいと考えるでしょう。
また、実運用の際には以下のようなアクセス権を制限したいシーンも数多くあります。
  • 会社毎に申請用の稟議書を分け、他社の稟議書が申請できないように制限したい
  • 特定の部門・人に申請モデルの編集権限を付与したい
  • 全社公開前に評価ユーザのみ検証できるようにしたい
Gluegent Flowでは「カテゴリ」という機能を使って上記のニーズを実現します。
カテゴリは、ワークフロー(申請モデル)をグルーピングするための「箱」であり、さらにその箱に対して申請時の利用可否および管理者権限を付与することができます。

カテゴリ管理を表示する手順は、Gluegent Flowのギアメニュー>設定を選択し、モデル管理メニュー>カテゴリ管理を選択します。
カテゴリを新規に作りたい場合は、新規作成ボタンを押します。


編集用ダイアログが表示されたら、カテゴリ名(①)を入力し、OKボタン(②)を押します。

もし申請を特定の人、部門に制限したい場合は、以下の図の通り、カテゴリ名(①)を入力し、「作成アクセス制限」を選択し(②)、その対象者をグループブラウザで指定(③)した上で、OKボタンを押します。

作成したカテゴリは一覧で確認できます。一覧には関連する申請モデル名、作成・管理者アクセス制限対象を表示します。


 なお、特定の部署にアクセス制限を設定した場合、新規申請時に表示するモデル一覧を変更することができます。以下の画面イメージの通り、営業部に所属する社員のみ申請で利用できるカテゴリ(41.見積)が営業部の場合のみ新規申請時のモデル選択画面に表示されることが分かると思います。




番号の採番ルール「シーケンス」を定義する

ワークフローでは「稟議書番号」のような一意に採番される番号を付与することが一般的ですが、Gluegent Flowでは「シーケンス」という機能を使って各申請に付与する番号の採番ルールを定義することができます。定義できるルールの種類は、以下の通りです。
  • 連番ルール
    • クリアするタイミング(日、月、年)、表示桁数(9桁まで)
  • フォーマット
    • 区切り文字(スラッシュ( / )、ピリオド( . )、ハイフン( - )、アンダースコア( _ ) )
    • 固定文字列、表示位置(前、後)
    • 日付文字列
      • 日付フォーマット(年月日、日月年、年月、月日、年、月、日)
      • 日付の区切り文字(スラッシュ( / )、ピリオド( . )、ハイフン( - )、アンダースコア( _ ) )

シーケンス管理を表示する手順は、Gluegent Flowのギアメニュー>設定を選択し、モデル管理メニュー>シーケンス管理を選択します。
シーケンスを新規に作る場合は、新規作成ボタンを押します。

編集ダイアログではまずシーケンス名(①)を入力します。次に連番設定(②)、固定文字列設定(③)、日付文字列設定(④)を指定します。
設定内容による表示形式のサンプルは「表示例」欄で確認できます。
作成したシーケンスは一覧で確認できます。


申請モデル編集のどこでカテゴリ、シーケンスを設定するか?

以上までカテゴリ、シーケンス設定についてご説明してきましたが、最後にこの設定がワークフロー定義となる申請モデルのどこに関係してくるのか触れておきましょう。
申請モデル編集画面では、以下の図の通りカテゴリ、シーケンスを設定する場所は全般タブ>基本設定欄で行います。




以上、Gluegent Flowのカテゴリおよびシーケンス機能の設定方法についてご紹介しました。また来月以降に本ブログで触れていきたいと思いますのでお楽しみに!


2018年9月25日火曜日

IDaaSとは、何か? (4) 〜どのサービスを使わせるか〜

IDaaSについて紐解く人気シリーズ「IDaaSとは何か」の一回目の記事、[IDaaSとは、何か(1)」で、以下の機能があるとご紹介しました。

  • 保存:Identityに関する情報を保存・管理する。
  • 認証:利用者が誰なのかを管理する。
  • 認可:利用者が許可されているサービスやリソースを管理する。
  • プロビジョニング: 利用者が許可されているサービスに対して、アカウントを管理する。

前回は、IDaaSとは、何か? (3) 〜訪問者は誰?〜として、「認証」について、見てみました。今回は、「認可」です。


認可ってなに?

「認可」とは何でしょうか。「認証」と一字違いですし、混同しやすいことも多いようです。英語でも、認証は、"Authentication"、認可は、"Authorization"で、似ています。ただし、その意味は異なりますので、ここではっきり理解したいところです。
今回もまずは簡単に一文で表現してみましょう。認可とは、「"特定の条件"に対して、"特定の何か"へのアクセスを許すこと」です。
ここで、「特定の条件」というのは、例えば「ユーザAさんが、社内のLANを使ってアクセスする場合」というような条件です。また、「特定の何か」というのは、広義では、「管理対象のリソース」ですが、IDaaSの文脈で言えば、「特定のサービス」と言い換えた方がわかりやすいかも知れません。IDaaSと連携するサービスで、例えば、G SuiteのGmailなどです。
つまり、
  • ユーザAさんは、社内のLANからのアクセスに限り、Gmailを利用できる。
  • ユーザBさんは、特定の端末からのアクセスに限り、インターネット経由で、Google Driveを利用できる。
というような、利用の制限をすることができるという機能です。

「認証」に基づく「認可」

このように、「認可」されるべき主体は、「認証」によって明らかにされた「特定のユーザ」ということになります。認可されるべき条件は、「誰か」以外の要素もありますが、あくまでも、「誰に対する認可なのか」ということを中心に考えるべきでしょう。その点で、「認可」は、「認証」に依存している機能で、認可の前段階で、認証が済んでいることが求められます。

グループに対する認可

また、IDaaSでは、特定のユーザという個人ではなく、特定のグループや組織に対する認可もできるようになっています。IDaaSは、第二回の記事で書いたとおり、Identityに関する情報を保持しています。どのユーザがどのグループや組織に属しているということを知っているので、個人に対してではなく、グループに対して認可することで、管理が容易になります。例えば、
  • 経理部は、社内のLANからのアクセスに限り、Gmailを利用できる。
  • 営業部は、特定の端末からのアクセスに限り、インターネット経由で、Google Driveを利用できる。
というような認可のルールを作ることが出来ます。経理部は社外からは仕事をしないので、会社の中でだけメールが読めれば良く、営業部は社用端末で、社外からも資料にアクセスするというような仕事内容に合わせたルールを柔軟に設定することができます。このような組織やグループに対して認可する機能がない場合は、人の出入りが多いような会社では、管理が煩雑になり、最悪な場合には、意図しない人に適切でないサービスを許可してしまうなどのセキュリティ事故を招くことになります。

アクセス制御

アクセス制御については、前回の記事でも触れました。認証というレベルでも、アクセスの制御をすることが可能ですが、認証を経て、利用者が誰なのかということがわかってから、さらにその他の条件で、対象のサービスに対するアクセスを制御する方がより細かく柔軟な制御が可能になります。前述の例のように、「特定の条件」の組み立ての要素が多いほど、よりきめ細やかなアクセス制御が可能と言えます。
IDaaSは、その名称を聞いただけでは、「セキュリティ」に寄与するような機能とはやや遠いように思われますが、「認証」および「認可」の機能で実現するアクセス制御は、IDaaSで享受できる大きなメリットです。

シングルサインオン

また、IDaaSが実現する機能に、シングルサインオン(SSO)があります。この機能は後の記事でより掘り下げる予定ですが、「認可」の視点から、軽く触れておきます。
SSOは、一度認証を通れば、IDaaSが連携するサービス群に対して、個別にログインせずに、利用できるようになるという利便性のための仕組みです。ここで、利用者はSSOできるサービス群に対して、「認可」されている必要があります。つまり、SSOして良いのかということを定義する基礎的な機能として、「認可」が利用されていることになります。SSOは、実際にはIDaaS側や、サービス側でももっと多くの基礎的な機能を組み合わせることで実現していますが、「認可」も重要な役割を担っています。

他のサービスとの連携

前々回の「保存」、前回の「認証」、そして、今回「認可」は、それ単体では、単純な機能ですが、IDaaSを使うことで、得られるメリットを形作るための「基礎的な機能」と言えます。より高次な機能である「アクセス制御」や「SSO」を実現するための部品という見方もできると思います。
次回は、まだ部品とも言える機能ですが、やや聞き慣れない「プロビジョニング」という機能について掘り下げます。

   Gluegent Gate


2018年9月18日火曜日

色々なクラウドサービスとシングルサインオン(SSO)してみよう - G Suite編 -(2018年版)

弊社が提供するGluegent Gateは、シングルサインオン・ID管理・アクセス制御の機能を兼ね備えたクラウドサービスです。現在、多くのサービスが、SAML 2.0という認証連携の標準規格に対応しておりますが、Gluegent GateではこのSAML 2.0という規格を利用して様々なクラウドサービス(G Suite(旧Google Apps)、Office 365、Salesforce、Dropbox、Box、サイボウズ等)とのシングルサインオンを実現しています。認証をGluegent Gateに集約し、そこでアクセス制御を行うことにより、各種クラウドサービスを横断的にセキュリティ強化することが可能となります。

さて、今日はGluegent Gateの利用ユーザ数の中で最も多いG Suiteについてシングルサインオンを行うための設定手順についてご紹介したいと思います。

※この記事は2017年5月に公開した記事の画像を最新版にしたものです。

前提条件

まず、Gluegent GateがG Suiteとシングルサインオンできるようにするためには、以下の作業が完了している必要があります。

    <G Suiteとシングルサインオン連携するための前提条件
  1. Gluegent Gateが利用ドメインにインストール済であること
  2. Gluegent GateでG Suiteとの同期設定が完了済であること
  3. Gluegent Gateにユーザ/グループが登録済であること
  4. 認証/認可ルールが定義済であること

シングルサインオン設定手順の流れ

G Suiteとのシングルサインオンを行うための設定手順は以下の通りです。

    <シングルサインオン設定手順>
  1. Gluegent GateからIdP証明書をダウンロードする
  2. G SuiteにIdP証明書のアップロードおよび各種設定項目を入力する
以下に詳しく説明していきます。

手順1. Gluegent GateからIdP証明書をダウンロードする

Gluegent Gate管理者ユーザでGluegent Gateの管理画面にログインし、以下の作業を行います。
  1. 画面左側メニューの「システム」をクリックします。
  2. 「IdP証明書」をクリックします。
  3. 証明書一覧画面から使用中の証明書のダウンロードアイコンをクリックし、証明書をダウンロードします

手順2. G SuiteにIdP証明書のアップロードおよび各種設定項目を入力する

Gluegent Gate側で証明書をダウンロードしたら、特権管理者権限を持つユーザでG Suiteの管理コンソール画面にログインし、以下の作業を行います。

    2-1. IdP証明書アップロード
  1. 「セキュリティ」を表示し、「シングルサインオン(SSO)の設定」をクリックします
  2. 「ファイルを選択」ボタンをクリックし、先ほどダウンロードしたIdP証明書ファイルを選択後、アップロードボタンを押します
  3. 以下のようにメッセージが表示されたら完了です

    2-2. SSO設定
  1. 上記アップロード作業に引き続き、G Suiteの管理画面にて以下の表を参考に設定します。
    No.
    設定項目
    設定内容
    1
    サードパーティのIDプロパイダでSSOを設定する
    チェック
    2
    ログインページのURL
    https://auth.gluegent.net/saml/saml2/idp/SSOService.php?tenant=<domain>
    ※例えばドメインがexample.comの場合以下のURLとなりますhttps://auth.gluegent.net/saml/saml2/idp/SSOService.php?tenant= example.com
    3
    ログアウトページのURL
    https://auth.gluegent.net/saml/saml2/idp/initSLO.php?RelayState=/saml/logout.php&logout=googleapps
    4
    パスワード変更URL
    https://auth.gluegent.net/user/password.php?tenant=<domain>
    ユーザにパスワードの変更をさせない場合は以下のURLにします
    https://auth.gluegent.net/static/denied_change_password.html
    5
    ドメイン固有の発行元を使用
    チェック


  2. 入力が終わったら、保存ボタンを押します。すると以下のような画面が表示されるので、説明文を確認後、「理解して、同意します。」ボタンを押します。

設定後の確認

設定が一通り完了したら、動作確認を行ってみます。
  1. Webブラウザのプライベートモードによるウィンドウを表示し、ロケーションバーに「https://mail.google.com/a/ドメイン名」を入力し、アクセスします。
  2. 以下のようなGluegent Gateのログイン画面にリダイレクトされますので、Gluegent Gateで登録したユーザID/パスワードを入力後、ログインします。
  3. ログイン後、Gmailが表示できたら成功です。


いかがだったでしょうか。上記のような設定でG SuiteとのシングルサインオンがGluegent Gateで簡単に実現できることがお分かりいただけたかと思います。今後、他サービスであるOffice 365やSalesforceに関する設定方法についてもご紹介していきますのでお楽しみに。

 Gluegent Gate


2018年9月13日木曜日

【グループキャッシュの更新時刻が設定可能に】8月のまとめ

8月のGluegentシリーズのリリースや、各種情報のまとめです。



グループキャッシュ更新スケジュールの設定が可能になりました

「グループキャッシュ」の更新スケジュールをお客様の管理画面から設定することができるようになりました。
Gluegent Apps 共有アドレス帳 リリースのお知らせ(2018/08/23)
Gluegent Apps グループスケジューラ リリースのお知らせ(2018/08/28)

iOS版共有アドレス帳でプロフィール情報から電話をかけられるようになりました

プロフィール情報に電話番号が記載されている場合に、そのまま電話をかけられます。
iOS 版共有アドレス帳 リリースのお知らせ(2018/08/08)

   Gluegent Gate

2018年9月11日火曜日

今日から始めるクラウド型ワークフローGluegent Flow(インストール・初期設定)

Gluegent FlowはG Suite (旧Google Apps)やOffice 365と連携することができるクラウド型ワークフローです。本ブログをご覧頂いている方の中にもクラウド型ワークフローを使ってみたいけど導入方法や準備作業が大変なのでは?と考えている方もいらっしゃるかもしれません。
G Suiteをご利用している中小規模の情報システム担当者の方を対象に、
Gluegent Flowを利用するにあたって必要となる導入・準備作業を本ブログで数回に分けてご説明していきます。

Gluegent Flowを導入するために必要な作業とは?

Gluegent Flowをご利用いただく際に必要となる導入時の作業内容は以下となります。
  1. Gluegent FlowをG Suiteにインストールする
    • ご利用中のG SuiteドメインにGoogle Marketplaceからインストールします。
      • Gluegent Flowインストール時にお使いのクラウドサービスに応じてグループが必要となります。Googleグループが既に作成済の場合、この手順は不要です。
  2. 組織階層をGoogleグループで定義する
    • 承認者選択および承認経路の自動判定で必要となる組織階層についてGoogleグループで定義します。
  3. 初期設定を行う
    • お客様情報、システム管理者、グループ選択パネルに表示するルートグループを設定します。
  4. ワークフローをグルーピングするための「カテゴリ」を定義する
    • 「申請」「稟議」「報告」等、ワークフローをグルーピングし、アクセス権を設定するための「カテゴリ」を定義します。
  5. 番号の採番ルール「シーケンス」を定義する
    • 申請毎に一意に採番される番号の採番ルールを「シーケンス」として定義します
  6. 承認時の上長を自動判別するための「ロール」を定義する
    • 課長、部長といった役職に対して部署毎に自動判別するための「ロール」を定義します
  7. マスタデータをスプレッドシートに定義する
    • 「部門情報」、「製品情報」等、ワークフローの選択肢で取り扱いたいデータをスプレッドシートに定義します。
本記事では、上記No.1〜3までのインストール〜初期設定について触れています。



Gluegent FlowをG Suiteドメインへインストールする

Gluegent Flowをご利用するためには、まずG Suiteへのインストールが必要です。この作業を行うには特権管理者権限ユーザが必要です。そのユーザで当社からご連絡したGluegent Flowインストール用URLにアクセスします。すると、以下のような画面が表示されますので、「INSTALL APP」ボタンを押します。

以下のような画面が表示されるので、利用規約をご確認後、同意欄にチェックをつけ、「同意」ボタンを押します。

「次へ」ボタンを押します。


「次へ」ボタンを押します。

「アプリケーションを起動」ボタンを押します。


すると、以下のようなGluegent Flow初期設定画面が表示されます。

なお、この初期設定を進めるにあたり、G SuiteドメインにGoogleグループが1件以上存在している必要があります。次節ではこのGoogleグループによる組織階層の定義方法について説明します。
(既にGoogleグループが定義済であれば、次節をスキップしていただいて構いません。)

組織階層をGoogleグループで定義する

Gluegent Flowでは、ワークフロー時の承認経路等で利用する組織階層にGoogleグループを利用します。Googleグループを利用することで、兼務を表現したり、人事異動時の組織切り替えを柔軟に行うことができます。Googleグループによる組織構成例は以下の通りです。


上図の「営業部」という組織は、Google管理コンソール>グループから以下の手順で作成します。
  1. 「営業部(sales@sample.com)」をGoogleグループで作成する
  2. 「営業部(sales@sample.com)」のグループメンバーとして「営業一課(sales_01@sample.com)」、「営業二課(sales_02@sample.com)」、「Eさん(user_e@sample.com)」を追加する
良く質問を受けますが、グループのメンバーにはGoogleアカウントの他、別のGoogleグループも追加できます。これにより、上図のような階層構造が表現できるようになります。

Gluegent Flowの初期設定を行う

Googleグループで組織定義まで完了したら、引き続きGluegent Flow初期設定画面で登録していきましょう。この画面で設定する内容は以下の通りです。

  • ご担当者情報
    • お客様情報を登録します。
  • システムユーザー
    • Gluegent FlowからG SuiteドメインへAPIアクセスする際に利用するシステムユーザーを選択します。
  • ルートグループ
    • 承認者を選択するときに表示する「グループ選択パネル(下図参照)」の1番左端に表示させる組織階層のトップを選択します。

ご担当者情報
まず、会社名、部署名、担当者名、メールアドレス、電話番号、会社規模を入力後、「個人情報保護方針」の同意欄にチェックを付けて、「ご担当者様情報を登録する」ボタンを押します。


システムユーザー/ルートグループ
続いて、システムユーザーとして特権管理者権限を持つユーザーをリスト表示しますので、その中からGluegent Flowで利用してよいユーザーを選択します。
ルートグループ設定欄では定義済Googleグループをリスト表示しますので、その中からルートグループに設定したいグループを指定します。
選択できたら登録ボタンを押します。


 初期設定登録内容でチェックが通れば、G Suiteドメイン内のアカウント/グループ情報を取得します。取得処理中、以下の画面が表示されます。

取得が完了したら、以下の画面が表示されるので「アプリケーションを開始する」ボタンを押します。

Gluegent Flowのタスク一覧画面が表示されます。ここまで表示できれば初期設定まで完了しています。


以上、Gluegent Flowのインストールおよび初期設定についてご紹介しました。初期設定まで完了したら、後はカテゴリ/ロール/シーケンス等の設定をGluegent Flow管理画面を通じて行っていくことになります。この設定方法については、また来月以降に本ブログで触れていきたいと思いますのでお楽しみに!

参考:
今日から始めるクラウド型ワークフローGluegent Flow(アクセス権限・採番ルール)