2018年4月3日火曜日

Gluegent Gate と SSO設定したG Suite のパスワードはどうなる?

Gluegent Gateは、G Suite(旧 Google Apps )やOffice 365等、様々なクラウドサービスとシングルサインオン(SSO)を実現することができるサービスです。
様々なクラウドサービスでSSOの設定ができますが、SSO 設定時の挙動はサービスごとに異なることが多いです。例えば、サービスへ直接アクセスできたり、できなかったり、管理者だけアクセスできたり、G Suite などではIMAPでアクセスする場合はSSO経由とならなかったりと多岐にわたります。
Gluegent Gateでは、SSO設定時に指定するパスワード同期ルールとして3種類選べますが、それぞれの特徴と G Suite 利用時を例に取って、同期ルール選択時の考え方についてご紹介します。

Gluegent Gateのパスワード同期ルール

Gluegent Gate とG Suite との間にシングルサインオン(SSO)設定を行っているとき、G Suite のパスワードはどうなっているのでしょうか。 SSO設定を行うと、G Suite へのログイン時には Gluegent Gate のログイン画面が表示されます。ここで入力するパスワードは G Suite への同期有無について、Gluegent Gate のパスワード同期ルールの設定で変更することができます。

Gluegent Gate のパスワード同期ルールは「なし」「シングルサインオンのパスワード」「ランダムパスワード」の三種類から選択します。

以下にそれぞれの設定の内容について説明していきます。

(1)パスワード同期=「なし」
Gluegent Gate のパスワードは G Suite には同期されません。
Gluegent Gate にユーザーを作成した時、G Suite に同期され、G Suite 側にユーザーが作成されます。この時、G Suite 側のユーザーのパスワードはランダム値が設定されます。
その後、ユーザーや管理者が Gluegent Gate 側のパスワードを変更しても G Suite には同期されません。
つまり、G Suite 側のパスワードは最初に作成された時のまま変化しません。


(2)パスワード同期=「シングルサインオンのパスワード」
Gluegent Gate のパスワードは G Suite に同期されます。
Gluegent Gate にユーザーを作成した時、G Suite に同期され、G Suite 側にユーザーが作成されます。この時、Gluegent Gate のパスワードと同じ値が G Suite 側のパスワードに設定されます。
その後、ユーザーや管理者が Gluegent Gate 側のパスワードを変更すると G Suite に同期されます。
つまり、Gluegent Gate と G Suite のパスワードは常に同じ値となります。

(3)パスワード同期=「ランダムパスワード」
Gluegent Gate のパスワードは同期されず、G Suite のパスワードにはランダムな値が設定されます。
Gluegent Gate にユーザーを作成した時、G Suite に同期され、G Suite 側にユーザーが作成されます。この時「なし」と同じように G Suite 側のユーザーのパスワードはランダム値が設定されます。
その後、ユーザーや管理者が Gluegent Gate 側のパスワードを変更するとランダムな値が G Suite のパスワードに設定されます。
つまり、G Suite 側のパスワードは常にランダム値が設定されます。

どのパスワード同期ルールを選択するべきか?

それぞれのパスワード同期ルールの特徴はお分かりいただけましたでしょうか。
では、それぞれのパスワード同期ルールはどのように選択すればいいでしょう。それは G Suite の利用シーンにより異なります。
「なし」の特徴は G Suite のパスワードは変更されないことです。もし G Suite の管理コンソールで G Suite 側のパスワードを変更しても大丈夫です。
例えば、特定のユーザーにのみ POP / IMAP を使ってメールを受信させる、あるいは SMTP を使って自動的にメールを送信するといったことを行いたい場合は「なし」を選択しましょう。
ユーザーが Gluegent Gate 側のパスワードを変更しても G Suite 側は変更されませんので、その都度設定を変更する必要がありません。
管理者がエンドユーザーのパスワードを伝えることなく上記のようなことを実現する場合、有効となるでしょう。
「シングルサインオンのパスワード」の特徴は Gluegent Gate と G Suite のパスワードが一致していることです。万が一 Gluegent Gate が障害により使えなくなったら(そんなことはありませんが!)シングルサインオンの設定を解除して、G Suite のログイン画面からログインすることになります。G Suite のパスワードがランダム値だった場合、G Suite のパスワードを全ユーザーに一括で変更する必要があります。ですが、それを告知する術は・・・?そういったときに、Gluegent Gate と G Suite のパスワードが一致していれば、ログイン画面は変わりますが、エンドユーザーはいつもと同じパスワードでログインができるようになります。
「ランダムパスワード」の特徴は G Suite のパスワードが常にランダム値であることです。G Suite 側にどんなパスワードが設定されているかは誰も知り得ないので、安全でおすすめです。

いかがだったでしょうか。本記事ではG Suiteを中心に説明しましたが、パスワード同期ルールは cybozu.com、Mail Luck!、PrimeDrive、Salesforce でも利用できます。お客様の運用に合わせてお選びください。

   Gluegent Gate