OneLogin(SSO)の導入と端末管理
SSOを社内に導入するにあたっての課題は、Active Directory(AD)を利用した既存のID管理システムからどのように移行するかということでした。社内システムと、端末のID管理をAD経由で展開おり、移行方法を検討する必要があったためです。
まず、社内システムとのID連携部分をどうやって移行するかを考えました。
当時、社内システムでID連携していたのは、ファイルサーバと課題管理システムでした。
ファイルサーバについては、SaaS型のファイルサーバ「Box」への移行が決定していたため、移行完了まで、そのまま利用することにしました。また、課題管理システムについては、課題管理システム上のローカルユーザーを作成後、OneLoginを利用してログインをさせるという形で移行を実施しました。
そして、もう1つの課題が端末のID管理です。
既存の環境では、PCをActive Directoryに参加させて、管理していましたが、社員の働き方を変えるという目的で、BYOD(Bring Your Own Device)制度を検討していました。
BYOD制度が検討された背景は、サービス開発担当の社員から「会社から提供されているWindows端末を利用して業務することにより、Macを利用して開発業務を行ったほうが効率よく業務ができる」という声がきっかけでした。
端末管理の考え方が大幅に変わることとなり、端末管理はADを利用するのではなく、デバイス管理サービスを利用することで、端末のパスワードポリシーの強制や悪意のあるソフトウェアの検知などができるようになりました。
これにより、端末のログインIDはデバイス管理サービスでポリシー設定し、クラウドサービスなどの各種ウェブサービスへのログインはSSOに統一することができました。
そのため、われわれは、以下のような順序で導入を実施しました。
- OneLogin上に社員のIDを発行
- 各クラウドサービスをOneLoginに登録
- 権限設計
- 利用開始
- Active Directoryの停止
これらの移行期間は1カ月程度でした。
これは、前述の通り、既存のシステムと連携したサービスが少なかったこと、社員数が50人程度だったことが起因していると筆者は考えています。
また、自社でシステムを持たないため、管理者は認証基盤としての設定(IDの統合と権限管理)などに集中することができるため、短期間での導入が可能でした。
もちろん、OneLoginが使いやすいサービスであったことは大きなポイントでした。
もし、既存のID管理システム(ADやLDAPなど)があり、そのシステムと連携している場合にも、そのログイン情報をそのまま OneLoginから利用することも可能です。そのため、規模によらず、OneLoginへの移行がスムーズです。