2021年4月7日水曜日

プロビジョニングできるとIDaaSはより便利でセキュアに

IDaaSというと、多くの場面でシングルサインオン(SSO)の利便性が強調されますが、実際に運用していくと、対象サービスへのプロビジョニングができるかどうかで、運用コストが大きく違うことがわかります。今回の記事では、なぜ、プロビジョニングが重要なのか、概観してみます。


「シングルサインオン」をユーザ視点と管理者視点で捉える

IDaaS(Identity as a Service)は、Identityに関わる機能を提供するサービスです。IDaaSを謳うサービスは多くありますが、その製品によって提供する機能は異なります。また、その機能群によって、得られるメリットも多岐にわたります。利用するサービスの選定のためにも、自分たちの組織が求める要件を実現するにはどのような機能が必要か、理解することが大事です。ここでは、分かりやすく捉えるために、ユーザが嬉しい機能と管理者が嬉しい機能の二面で捉えてみましょう。

では、まず、イメージしやすい機能として、「シングルサインオン」を二つの側面から見てみます。

ユーザ視点で、シングルサインオンが嬉しいのは、「パスワードをたくさん覚えなくても良い」、「何度もログインしなくてよい」などでしょうか。ユーザにとってのメリットを一文にまとめると、「サービスを使いたい時にスムーズに使えるようになり、仕事をすることに本質的に関わらない時間や手間を削減され、本業に多くの時間を使い、集中できる」ということになるでしょう。

一方、管理者視点で、シングルサインオンが嬉しいのは、実務的には、「パスワード忘れの問い合わせが減る」が一番かも知れません。ただ、直接的な業務としてでなく、管理側の責務にとって、最も嬉しいのは「ユーザと管理者どちらにとっても、少ない努力量で高いセキュリティを提供出来る」という点にあります。ユーザは、仕事をしたいのであって、セキュリティを守りたいわけではありません。長く複雑なパスワードを複数覚えさせるような「本当は仕事と関係ないこと」について労力を取られることを嫌います。そうすると、同じパスワードを使いまわしたり、紙にメモしたりするなど管理者にバレないようなちょっとした「工夫」をするようになります。その工夫がセキュリティの穴となり、インシデントを招くこともあります。管理者としては、高いセキュリティを維持するためだからと言って、ちょっとした無理を現場にお願いすることになりますが、ちょっとした無理も積もれば仕事の邪魔になります。これでは、ユーザの理解は得られません。しかし、シングルサインオンであれば、現場の手間を減らした上で、セキュリティレベルも上げることができます。この点で、シングルサインオンは、導入効果が高い機能と言えるでしょう。

「プロビジョニング」をユーザ視点と管理者視点で捉える

では、プロビジョニングはどうでしょうか。まず、シングルサインオンほど、メジャーな機能ではないので、概要を説明します。プロビジョニング(provisioning)は、広義では「特定のリソースを利用可能な状態に準備する」という意味です。IDaaSの文脈では、対象のサービスを使えるようにアカウントの準備をしておくということになります。IDaaSが連携するサービスについて、プロビジョニング機能を備えていれば、IDaaSでアカウントを作成することで、対象サービスにアカウントを作ることが出来たり、IDaaS側で、削除や無効化するだけで、対象サービス側でも削除や無効化することができます。また、特定のグループを作ったり、アカウントをグループに入れたり外したりできるサービスもあります。

プロビジョニングのユーザにとってのメリットは、使いはじめまでの準備が早いことが上げられるでしょう。例えば、新入社員が10人入って、そのうち7人が営業部で、3人が開発部とした時に、全ての社員が使うサービス、営業部だけが使うサービス、開発部だけが使うサービスがそれぞれあるとします。プロビジョニング出来なければ、それぞれのサービスにそれぞれのアカウントを手でつくる必要があります。さらに、シングルサインオンでログインさせるために、それらのアカウントの紐づけをする必要があります。ユーザは、管理者が準備してくれるのを長く待つ必要がありそうです。

プロビジョニングの管理者にとってのメリットは、各サービスのアカウント管理が一元化されるという点です。プロビジョニングというとアカウント作成が分かりやすい例にあがります。実際、複数のサービスに複数のユーザを手で作っていくのは、煩雑で骨が折れる作業です。ただ、セキュリティの面で注目しておきたいのは、不要なアカウントの削除・無効化が確実にできるという点です。退職などで組織を離れる利用者のアカウントは、適切に管理されていなければ、残ってしまうこともあります。場合によっては不正にログインされることもありますし、そのようなケースは発見されにくいものです。コストも無駄になります。プロビジョニングでIDaaSから一元管理できれば、わざわざ、対象サービスの管理画面に入ってユーザ一覧を確認することもなくなります。多くの連携サービスを含めたアカウント管理を一元化できることで、ユーザにもスムーズにサービスを使ってもらうことができます。

シングルサインオンのように毎日ユーザの利便性に寄与する機能ではありませんが、管理者の仕事を確実で簡易にものにすることで、組織としてのサービス基盤に大きく寄与する機能です。

プロビジョニングでより強固な連携を

プロビジョニングの処理は、対象サービス側で提供されるAPIを、IDaaS側で呼び出すことで、実現されます。そのため、適切なAPIが提供されていなければ、実現できませんし、IDaaS側がそのサービスに対応していなければ、実現できません。シングルサインオンには、SAMLというデファクトスタンダードの仕様があり、サービス側もIDaaS側もSAMLに対応するだけで、シングルサインオンを実現できますが、プロビジョニングでは、各サービス毎にアカウントの構成や、グループ、組織の考え方が異なるため、APIの作りや呼び方も多種多様です。弊社が提供するGluegent Gateでも、多くのサービスに対して、プロビジョニングが出来ますが、まだ対応出来ていないサービスもあります。ただ、Gluegent Gateでは、より強固な連携が出来、日々の運用コストを軽減し、高度なセキュリティを実現できるように、シングルサインオンだけでなく、プロビジョニングできるサービスを拡大しています。今後もどんどん対応サービスを増やしていきますので、ご期待ください。Gluegent Gateが、どのようなサービスと連携することができるのか、Works with Gluegentのページでご案内しています。

(ま)
  Gluegent Gate