2018年10月30日火曜日

新しいGoogleサイトで作った社内ポータルに共有アドレス帳・グループスケジューラを配置してみよう

Gluegent Apps共有アドレス帳はG Suite(旧Google Apps)やMicrosoft Office 365を導入している企業に最適な全社で共有できるアドレス帳ツールです。
Gluegent AppsグループスケジューラはG SuiteのGoogleカレンダーをチームで活用するためのツールです。
よく、お客様から「共有アドレス帳やグループスケジューラを新しいGoogleサイトで配置したい」というお問い合わせをいただきます。せっかく社内ポータルをGoogleサイトで作って運用しているので、共有アドレス帳やグループスケジューラをユーザーに使わせたいとお思いの方も多いことでしょう。
そこで、今回は共有アドレス帳やグループスケジューラを新しいGoogleサイトの社内ポータルページに配置する方法をご説明します。

新しいGoogleサイトページに共有アドレス帳/グループスケジューラを貼り付ける方法

新しいGoogleサイトページにはHTMLを埋め込むための機能が備わっています。その機能を使えば外部サイトページを自社のページ内に表示できるようになります。
本記事では既に社内ポータルページを新しいGoogleサイトで作成しているものとし、下図のようにステータスガジェットを配置していくための手順を説明していきましょう。


まず編集対象となるGogoleサイトのページ編集画面を開き、右側のメニューにある埋め込みボタンを押します。

すると、ダイアログが表示されるので「埋め込みコード」を選択し、編集欄にコードを入力します。このコード欄には以下のHTMLコードを入力してください。入力後に「次へ」をクリックします。

埋め込みコード:
<iframe src="https://gluegent-addressbook.appspot.com/openid?hd=<ドメイン名>
&continue=https%3A%2F%2Fgluegent-addressbook.appspot.com%2Faddresslist.html
%3Fredirect%3Dhttps%3A%2F%2Fgluegent-addressbook.appspot.com%2Faddresslist.html" 
 width="100%" height="100%"></iframe>

<ドメイン名>の箇所は、お使いのG Suiteのドメイン名(例:example.com)を指定してください。

コード例:
<iframe src="https://gluegent-addressbook.appspot.com/openid?hd=example.com
&continue=https%3A%2F%2Fgluegent-addressbook.appspot.com%2Faddresslist.html
%3Fredirect%3Dhttps%3A%2F%2Fgluegent-addressbook.appspot.com%2Faddresslist.html" 
 width="100%" height="100%"></iframe>

 HTMLコード入力後、次へボタンを押すとプレビュー画面が表示されますので、保存ボタンを押します。

編集中のページにステータスガジェットが挿入できました。

確認ができたら、公開ボタンを押して現時点の編集内容で公開しましょう。

グループスケジューラの追加手順も同様です。埋め込みコードを以下のように設定してください。
埋め込みコード:
<iframe src="https://gluegent-scheduler.appspot.com/openid?hd=<ドメイン名>
&continue=https%3A%2F%2Fgluegent-scheduler.appspot.com%2Fconsole.html
%3Fredirect%3Dhttps%3A%2F%2Fgluegent-scheduler.appspot.com%2Fconsole.html" 
 width="100%" height="100%"></iframe>

<ドメイン名>の箇所は、お使いのG Suiteのドメイン名(例:example.com)を指定してください。

コード例:
<iframe src="https://gluegent-scheduler.appspot.com/openid?hd=example.com
&continue=https%3A%2F%2Fgluegent-scheduler.appspot.com%2Fconsole.html
%3Fredirect%3Dhttps%3A%2F%2Fgluegent-scheduler.appspot.com%2Fconsole.html" 
 width="100%" height="100%"></iframe>


以上、共有アドレス帳とグループスケジューラを新しいGoogleサイトのページに埋め込む方法をご紹介しました。非常にシンプルな操作で表示できるようになったと思います。このように新しいGoogleサイトではiframeによるページ埋め込みが簡単に行えるようになっております。ぜひお試しください。



2018年10月23日火曜日

今日から始めるクラウド型ワークフローGluegent Flow(ロール)

Gluegent FlowはG Suite (旧Google Apps)やOffice 365と連携することができるクラウド型ワークフローです。
本記事では前回の記事に続いて、G Suiteをご利用している中小規模の情報システム担当者の方を対象に、
Gluegent Flowを利用するにあたって必要となる導入・準備作業について、ワークフローに対するロール機能の設定をどのように行っていくか、ご説明していきます。

Gluegent Flow導入時の準備作業

Gluegent Flowをご利用いただく際に必要となる導入時の作業内容は以下の通りです。
  1. Gluegent FlowをG Suiteにインストールする
  2. 組織階層をGoogleグループで定義する
  3. 初期設定を行う
  4. ワークフローをグルーピングするための「カテゴリ」を定義する
  5. 番号の採番ルール「シーケンス」を定義する
  6. 承認時の上長を自動判別するための「ロール」を定義する
  7. マスタデータをスプレッドシートに定義する
本記事では、上記No.6の設定内容についてご説明します。
No.1〜5の内容に関しては前回までの記事をご覧ください

<前回までの記事>


部署毎の承認者を自動判別するロール機能が必要な理由

ワークフロー定義(申請モデル定義)では、入力フォームに加え、承認経路も重要な要素です。例えば、下図の組織において申請モデル「稟議申請」の承認経路で役職:課長が処理者として設定する場合を考えてみます。

営業部には営業一課および二課が存在し、それぞれの課にはAさん、Cさんが課長だったとします。営業一課所属のBさんが稟議書を申請し、課長承認を依頼する場合、営業一課課長であるAさんが承認先となります。一方、営業二課所属のDさんの場合は、Cさんが承認先となります。つまり、申請者が所属する部署毎の役職者に承認依頼をすることになります。
ここで、もし承認者を個人でしか設定できないとどうなるでしょうか。その場合は課の数だけ同じ内容の申請モデルを用意することになります。しかし、それはメンテナンスの観点から現実的ではありません。そのため、申請モデルは1つだけ定義し、承認者の設置絵は申請者自らが指定する運用が考えられます。しかし、その場合、申請者がわざわざ上長を各承認者として選ぶため、申請時に余計な手間が掛かるようになります。
この課題を解決する機能が「ロール機能」です。次からこのロール機能に必要なロール定義について説明していきます。

ワークフローで承認者・決裁者を自動判別するための「ロール」を定義する

Gluegent Flowでは「ロール」という機能を使って部署毎の役職者を自動判別することができますが、そのためには部署・役職者に関するマスタデータをGluegent Flowに設定しておく必要があります。
ロール管理を表示する手順は、Gluegent Flowのギアメニュー>設定を選択し、モデル管理メニュー>ロール管理を選択します。
ロールを新規に作りたい場合は、新規作成ボタンを押します。

編集用ダイアログが表示されたら、ロール名(①)、そのロールの割当先組織グループ名(②)、そのロール対象となるユーザ名(③)を指定し、OKボタン(④)を押します。
登録が完了すると一覧に表示します。
上記の手順でロールの数だけ定義していきますが、G Suite版の場合、スプレッドシートにロール定義を記述しておき、それを一括でインポートすることでより効率的にメンテナンスすることが可能です。以下からスプレッドシートによるロール定義方法を説明していきます。
まず、Googleスプレッドシートにロール定義を用意します。
スプレッドシートの先頭行に「groupId」「managerId」「role」を記述します。2行目から以下の内容を設定していきます。
  • groupId
    • ロールの割当先組織グループID
  • managerId
    • ロール対象ユーザID
  • role
    • ロール名

<スプレッドシートの設定例>

次にGluegent Flowで上記スプレッドシートの定義内容を取り込みます。Gluegent Flowの設定>ロール管理画面にある新規作成ボタン横のプルダウンをクリックし、表示されたメニューから「インポート」を選択します。
同期対象シートを選択する画面が表示されますので、上記シートを指定後(①)、同期ボタン(②)を押します。
確認ダイアログが表示されるので、OKボタンを押します。
取込処理が完了するまでしばらく待ち、再表示すると取り込まれたロール一覧が確認できます。

申請モデル側のロール設定

前述までのロール設定を踏まえ、申請モデル側の経路設定でどのようにロールを設定するか説明していきます。
申請モデルのロール設定場所は、モデル編集画面>経路で対象の経路名(例:課長承認待ち)を選択し、設定欄のアコーディオンメニューから担当者設定を選択すると表示します。

ロール設定欄では2種類の選択肢がありますが、通常は「すべての階層のロールが対象」を選択してください。そして、ロールリスト(①)からその経路に指定したいロール名を「+」ボタン(②)で追加すると、割り当てられたロール名がロール一覧(③)に追加・表示します。

上記の設定を参考に経路「課長承認待ち」には「課長」ロールを、経路「部長承認待ち」には「部長」ロールを設定した申請モデルで新規申請を行った時の経路担当者の表示イメージは以下の通りです。


兼務している社員が申請する場合のロール判別は?

複数の組織に所属している兼務社員の場合のロール判別はどうなるか最後に説明しておきます。ロールは組織グループIDごとに設定したロールであるため、組織が確定すればその組織に紐づくロールは抽出できます。所属組織グループが1つとなる一般的な社員の場合は自動で設定できますが、兼務者の場合、新規申請時に右上に表示される所属組織グループを切り替えることで申請元の所属組織を切り替えることでロールも変わります。
以下では「営業一課」「営業二課」に所属している兼務社員が所属グループを切り替えることで「課長承認待ち」の処理担当者名が変わることがわかると思います。





以上、Gluegent Flowのロール機能の設定方法についてご紹介しました。申請モデル側でのロール設定に関する活用方法については後日ご紹介したいと思います。


2018年10月16日火曜日

IDaaSとは、何か? (5) 〜使えるように準備する〜

IDaaSについて紐解く人気シリーズ「IDaaSとは何か」の一回目の記事、[IDaaSとは、何か(1)」で、以下の機能があるとご紹介しました。

  • 保存:Identityに関する情報を保存・管理する。
  • 認証:利用者が誰なのかを管理する。
  • 認可:利用者が許可されているサービスやリソースを管理する。
  • プロビジョニング: 利用者が許可されているサービスに対して、アカウントを管理する。

前回は、IDaaSとは、何か? (4) 〜どのサービスを使わせるか〜として、「認可」について、見てみました。今回は、「プロビジョニング」です。


プロビジョニングってなに?

プロビジョニング(provisioning)とは、広義では、サーバやサーバのリソース等を使えるようにするという意味ですが、IDaaSの文脈では、「対象サービスでアカウントを準備し、ユーザが利用できるようにする」といった意味合いです。
前回までの記事で見てきた通り、IDaaSでは、IDentityに関する情報を「保存」していて、その情報に基づいて、利用者が誰かを「認証」によって明らかにします。さらに、明らかになったユーザにどのサービスが許可されているかを「認可」によって、確認します。ただ、認可されているサービスがわかったとしても、そのサービスの方では、まだ利用可能な状態に準備されていません。ここで、「利用可能な状態に準備する」という処理がプロビジョニングです。IDaaSが持つ情報を使って、対象サービスにアカウントを作成し、利用できる状態にします。

プロビジョニングまで出来て一気通貫

プロビジョニングまで出来れば、なにもない状態から、利用者にサービスを利用させる準備が整うところまでの処理が一通り揃うということになります。例をあげてみましょう。
例えば、営業担当にGmailとSalesforceを利用させる会社に、社員が入社したとします。IDaaSが導入されていなければ、GmailとSalesforceの双方に、アカウントを個別に作成する必要があります。IDaaSを導入していて、Gmailと、Salesforceにプロビジョニング連携設定ができていれば、IDaaSで、アカウントを作成し、GmailとSalesforceを認可してあげることで、GmailとSalesforceにも、自動的にアカウントが作成され、利用可能な状態になります。その上、認証は、IDaaSがシングルサインオンでまとめるので、個別にログインする必要はありませんし、パスワードの管理も不要です。利用するサービスが複数ある場合でも、IDaaSに登録して、認可するだけで、入社準備が完了するということになります。

準備だけでなく、更新や、利用中止まで

プロビジョニングは、利用を準備するという処理だけに注目が集まり勝ちですが、運用していく上で重要なのは、情報の更新や、利用の中止についても、管理できるという点です。情報は、運用していく中で、更新されることもありますし、削除されることもあります。IDaaSが対象サービスに対して、プロビジョニングをサポートしている場合、IDaaSで情報を更新することで、認可されているサービスに情報が伝搬します。
先の例で言えば、営業担当者の姓が変わった場合、IDaaSで変更することで、Gmail、Salesforceの情報も更新されます。さらに、異動により、営業部を離れるとすると、Salesforceは利用しなくなります。ただ、Gmailはそのまま利用します。そのようなケースでは、IDaaSで、Salesforceの利用する設定を外すことで、Salesforce側のアカウントは利用停止状態となります。
退職や、異動により、利用していたサービスを利用できない状態にするということは、利用開始時に比べて、軽視されやすいものですが、セキュリティの観点に立つと、非常に重要な意味を持ちます。

すべてを一箇所で

ここまで見てきたように、プロビジョニングがサポートされていると、IDaaS上の情報のみを適切に管理することで、連携するサービス上のアカウントを管理することができます。昨今のクラウドサービスは、高度な単機能を提供するものが多くあります。そのため、必要なサービスを必要に利用者だけに必要な期間だけ提供するという運用が求められます。そのような運用をするためには、個別のサービス上で、それぞれアカウントを管理するのは、現実的ではありません。利用可能にすることが出来ても、適切に利用できないようにするという処理を徹底するのは、難しいでしょう。退職者のアカウントを削除し忘れていて、利用できるようになっていたという状況は避けなくてはなりません。
そのような要件を満たすのが、プロビジョニング機能を備えたIDaaSです。一箇所だけ注意しておくことで、迅速なサービス利用準備と高いセキュリティを実現できます。

シングルサインオン

今回掘り下げたプロビジョニングまでできることで、利用準備を整えられました。次回は準備できた環境を使うにあたって、高い利便性をユーザに提供すると同時に、高度なセキュリティも実現する、「シングルサインオン」について、掘り下げてみます。

   Gluegent Gate


2018年10月10日水曜日

【新しいGoogleサイト活用キャンペーン予告】9月のまとめ

9月のGluegentシリーズのリリースや、各種情報のまとめです。



『新しい Google サイト活用キャンペーン』を提供予定です

新しい Google サイトに対応した、Gluegent Gadgetsの一部機能を無償提供するキャンペーンを予定しています。
『新しい Google サイト活用キャンペーン』予告 〜 新しい Google サイトに対応した Gluegent Gadgets を無償提供 〜

グループキャッシュ更新スケジュールの設定が可能になりました

Gluegent Flowの「グループキャッシュ」の更新スケジュールをお客様の管理画面から設定することができるようになりました。
Gluegent Flow リリースのお知らせ(2018/09/20)

Gluegent Gate のパスワードポリシーで使用文字種数を設定できるようになりました


より柔軟なパスワードポリシーの設定が可能です。
Gluegent Gate リリースのお知らせ(2018/09/06)

 Gluegent Gate

2018年10月9日火曜日

色々なクラウドサービスとシングルサインオン(SSO)を設定してみよう - Office 365編 -(2018年版)

弊社が提供するGluegent Gateは、シングルサインオン・ID管理・アクセス制御の機能を兼ね備えたクラウドサービスです。現在、多くのサービスが、SAML 2.0という認証連携の標準規格に対応しておりますが、Gluegent GateではこのSAML 2.0という規格を利用して様々なクラウドサービス(G Suite(旧Google Apps)、Office 365、Salesforce、Dropbox、Box、サイボウズ等)とのシングルサインオンを実現しています。認証をGluegent Gateに集約し、そこでアクセス制御を行うことにより、各種クラウドサービスを横断的にセキュリティ強化することが可能となります。

さて、今日はOffice 365とシングルサインオンを行うための設定手順について取り上げたいと思います。

※この記事は2017年6月に公開した記事の画像を最新版にしたものです。

前提条件

まず、Gluegent GateがOffice 365とシングルサインオンできるようにするためには、以下の作業が完了している必要があります。

    <Office 365とシングルサインオン連携するための前提条件>
  1. Office 365に連携するドメイン名(xxx.onmicrosoft.com以外)が登録済であること
  2. Gluegent Gateにユーザ/グループが登録済であること
  3. Gluegent Gateに認証/認可ルールが定義済であること

No.1が特に重要です。Office 365と連携するためにはxxx.onmicrosoft.com以外のドメインをOffice 365のドメインとして登録しておくことが必要です。またxxx.onmicrosoft.comは「既定」として設定しておきます。

 Office 365管理センターのドメイン設定画面設定例


シングルサインオン設定手順の流れ

Office 365とのシングルサインオンを行うための設定手順は以下の通りです。G Suiteと違い、IdP証明書登録作業は必要ありません。

    <シングルサインオン設定手順>
  1. Gluegent GateのSSO設定画面で各種設定項目を入力する
  2. Gluegent Gateのユーザ設定画面でOffice 365に関する設定を行う
以下に詳しく説明していきます。

手順1. Gluegent GateのSSO設定画面で各種設定項目を入力する

Gluegent Gateへログイン後、以下の作業を行います。

  1. 画面左側メニューの「シングルサインオン」をクリックします。
  2. 「クラウドサービス」をクリックします。
  3. 「Office 365」をクリックします。
  4. 設定項目を入力します。
    • 設定画面ではメールボックスに関する設定もできますが、本稿ではシングルサインオンに必要な設定のみ行っています
  5. 保存ボタンをクリックします。
設定項目の説明
No.
設定項目
設定内容
1
シングルサインオンの設定
「有効」にチェック
2
Office 365ドメイン (必須)
Office 365と連携するドメイン名を入力
(xxx.onmicrosoft.com以外)
3
ID同期 
「有効」にチェック
4
Office 365管理アカウント名 (必須) 
Office 365の管理権限を持つxxx.onmicrosoft.comドメインのユーザを入力
5
管理者アカウントのパスワード
上記No.4で設定した管理者アカウントのパスワードを入力
6
ユーザ名の属性
Office 365との連携にGluegent Gateユーザ情報のメールアドレスまたはユーザIDのどちらを利用するか指定
7
シングルサインオンの方式
「SAML」「WS-Federation」のどちらかを指定
(通常は「WS-Federation」を指定)

上記設定の中で、No.2, No.4は間違いやすいところなので気をつけましょう。

手順2. Gluegent Gateのユーザ設定画面でOffice 365に関する設定を行う
Office 365と連携するためのユーザを指定します。
  1. 画面左側メニューの「ユーザ」をクリックします。
  2. ユーザ一覧からOffice 365と連携したいユーザを選択します。
  3. 以下の設定を行います。
    • メールアドレス
      • Office 365で登録したドメイン名を持つユーザのメールアドレスを入力
    • 許可するサービス
      • 「Office 365」にチェックを付与
    • Office 365のロール
      • Office 365側のライセンスを指定
      • ※この設定欄が表示されるまでSSO設定後最大45分間かかる場合があります
  4. 保存ボタンをクリックします。
  5. 連携したいユーザについて上記No.2〜4を繰り返します


設定後の確認

設定が一通り完了したら、動作確認を行ってみます。

  1. Webブラウザのプライベートモードによるウィンドウを表示し、ロケーションバーに「https://portal.office.com」を入力し、アクセスします。
  2. Office 365の認証画面でGluegent Gateで連携ユーザとして設定したユーザのメールアドレスをユーザIDに入力し「次へ」をクリックします。
  3. するとログイン画面にリダイレクトされますので、Gluegent Gateで登録したユーザID/パスワードを入力後、ログインします。
  4. ログイン後、Office 365が表示できたら成功です。


いかがだったでしょうか。上記のような設定でOffice 365とのシングルサインオンがGluegent Gateで簡単に実現できることがお分かりいただけたかと思います。次回も他サービスとのSSOに関する設定方法についてご紹介していきますのでお楽しみに。

 Gluegent Gate


2018年10月2日火曜日

今日から始めるクラウド型ワークフローGluegent Flow(アクセス権限・採番ルール)

Gluegent FlowはG Suite (旧Google Apps)やOffice 365と連携することができるクラウド型ワークフローです。
本記事では前回の記事に続いて、G Suiteをご利用している中小規模の情報システム担当者の方を対象に、
Gluegent Flowを利用するにあたって必要となる導入・準備作業について、ワークフローに対するアクセス権限や採番ルールの設定をどのように行っていくか、ご説明していきます。

<前回の記事>
 今日から始めるクラウド型ワークフローGluegent Flow(インストール・初期設定)

Gluegent Flow導入時の準備作業

Gluegent Flowをご利用いただく際に必要となる導入時の作業内容は以下の通りです。
  1. Gluegent FlowをG Suiteにインストールする
  2. 組織階層をGoogleグループで定義する
  3. 初期設定を行う
  4. ワークフローをグルーピングするための「カテゴリ」を定義する
  5. 番号の採番ルール「シーケンス」を定義する
  6. 承認時の上長を自動判別するための「ロール」を定義する
  7. マスタデータをスプレッドシートに定義する
本記事では、上記No.4〜5の設定内容についてご説明します。

No.1〜3の内容に関しては前回の記事をご覧ください

ワークフローのグルーピングするため「カテゴリ」を定義する

稟議書や経費精算等、ワークフローの定義数が多くなってくると、新規申請時にワークフローの一覧から選択するのが分かりづらくなります。そのため、ワークフロー管理者は用途毎にワークフローを分類・表示できるようにすることでユーザが迷わず申請できるようにしたいと考えるでしょう。
また、実運用の際には以下のようなアクセス権を制限したいシーンも数多くあります。
  • 会社毎に申請用の稟議書を分け、他社の稟議書が申請できないように制限したい
  • 特定の部門・人に申請モデルの編集権限を付与したい
  • 全社公開前に評価ユーザのみ検証できるようにしたい
Gluegent Flowでは「カテゴリ」という機能を使って上記のニーズを実現します。
カテゴリは、ワークフロー(申請モデル)をグルーピングするための「箱」であり、さらにその箱に対して申請時の利用可否および管理者権限を付与することができます。

カテゴリ管理を表示する手順は、Gluegent Flowのギアメニュー>設定を選択し、モデル管理メニュー>カテゴリ管理を選択します。
カテゴリを新規に作りたい場合は、新規作成ボタンを押します。


編集用ダイアログが表示されたら、カテゴリ名(①)を入力し、OKボタン(②)を押します。

もし申請を特定の人、部門に制限したい場合は、以下の図の通り、カテゴリ名(①)を入力し、「作成アクセス制限」を選択し(②)、その対象者をグループブラウザで指定(③)した上で、OKボタンを押します。

作成したカテゴリは一覧で確認できます。一覧には関連する申請モデル名、作成・管理者アクセス制限対象を表示します。


 なお、特定の部署にアクセス制限を設定した場合、新規申請時に表示するモデル一覧を変更することができます。以下の画面イメージの通り、営業部に所属する社員のみ申請で利用できるカテゴリ(41.見積)が営業部の場合のみ新規申請時のモデル選択画面に表示されることが分かると思います。




番号の採番ルール「シーケンス」を定義する

ワークフローでは「稟議書番号」のような一意に採番される番号を付与することが一般的ですが、Gluegent Flowでは「シーケンス」という機能を使って各申請に付与する番号の採番ルールを定義することができます。定義できるルールの種類は、以下の通りです。
  • 連番ルール
    • クリアするタイミング(日、月、年)、表示桁数(9桁まで)
  • フォーマット
    • 区切り文字(スラッシュ( / )、ピリオド( . )、ハイフン( - )、アンダースコア( _ ) )
    • 固定文字列、表示位置(前、後)
    • 日付文字列
      • 日付フォーマット(年月日、日月年、年月、月日、年、月、日)
      • 日付の区切り文字(スラッシュ( / )、ピリオド( . )、ハイフン( - )、アンダースコア( _ ) )

シーケンス管理を表示する手順は、Gluegent Flowのギアメニュー>設定を選択し、モデル管理メニュー>シーケンス管理を選択します。
シーケンスを新規に作る場合は、新規作成ボタンを押します。

編集ダイアログではまずシーケンス名(①)を入力します。次に連番設定(②)、固定文字列設定(③)、日付文字列設定(④)を指定します。
設定内容による表示形式のサンプルは「表示例」欄で確認できます。
作成したシーケンスは一覧で確認できます。


申請モデル編集のどこでカテゴリ、シーケンスを設定するか?

以上までカテゴリ、シーケンス設定についてご説明してきましたが、最後にこの設定がワークフロー定義となる申請モデルのどこに関係してくるのか触れておきましょう。
申請モデル編集画面では、以下の図の通りカテゴリ、シーケンスを設定する場所は全般タブ>基本設定欄で行います。




以上、Gluegent Flowのカテゴリおよびシーケンス機能の設定方法についてご紹介しました。また来月以降に本ブログで触れていきたいと思いますのでお楽しみに!