ID管理の運用
ではここからは、実際に、シングルサインオンを導入して、サーバーワークスがOneLoginをどのように使い、ID管理を行っているのかを説明したと思います。
シングルサインオンの方式
OneLoginでのユーザーのシングル・サイン・オン方式は複数存在しており、サービスによって使い分けています。
代理入力
代理入力では、通常利用されるようなID、パスワードのフォーマットのサービスへのシングルサインオンを実現する仕組みです。各サービスへアクセスする際、OneLoginの機能を利用し、ユーザーIDとパスワードを自動入力してログインを実行できます。
設定の種類は以下の3つとなっており、サービスに合わせて設定を行います。
・ユーザー設定
エンドユーザー側でのみパスワード設定が必要なサービスに利用。
例:n日ごとにユーザーがログインパスワードを変更する必要がある。
・管理者設定
通常のID、パスワードを利用したログイン方式のサービスに利用します。この設定の場合は、管理者側がユーザーごとにID、パスワードを個別に設定することができます。
この場合、管理者がパスワードをOneLoginに設定しているため、ユーザーはパスワードを知らない状態で、サービスを利用できます。
この設定を、利用することで、通常のID、パスワードのログイン形式のサービスでも、ユーザーにパスワードを伝えずに、かつ強力なパスワードを設定する運用が可能になります。
・共用アカウント(管理者設定)
管理者が設定した1つのID情報を共有してログインする設定です。利用例としては、デモアカウントのような、複数名でアカウントを共有して利用したい場合に設定します。
SAML(Security Assertion Markup Language)
SAMLとは、ID連携プロトコルで、シングルサインオンのようなIdp(IDプロバイダ)とSP(サービスプロバイダ)間を連携するために利用されます。
つまり、シングルサインオンを提供しているサービスとSAMLに対応したサービス(AWSなど)で設定を行うことで、ID連携がされるため、パスワードを利用しない認証が可能になります。
・2段階認証
サーバーワークスでは、全社員のOneLoginへのアクセスは2段階認証を行う設定をしています。これは、管理者側で、ユーザーに対して2段階認証を強制させるポリシーを適用することで簡単にできます。
2段階認証には、スマートフォンや物理MFAなどさまざまなアプリやデバイスを利用することができます。
2段階認証を設定することで、ユーザーは、OneLoginにログインする際に、ID、パスワードの認証の後に、自身で設定した2段階認証を利用してログインできます。
・監査ログによるユーザー利用状況の追跡
OneLoginには監査ログ機能が用意されているため、ユーザーの利用履歴を確認することができます。
この機能を利用して、ユーザーの証跡を追うことはあまりないのですが、利用シーンとしては、特定のお客様の環境にログインした場合、いつ、どのユーザーがログインを実行したかを確認することができます。これにより、インシデントが起きた際に、どのユーザーが該当する環境にアクセスしていたのかをすぐに把握できます。
まとめ
今回の内容では、サーバーワークスが「作らないITシステム」を実現するために、どのようにID管理をしているかを紹介しました。次回は、ID管理のクラウド化とともに実施した、ファイルサーバのクラウド化について紹介します。
- 宮澤 慶
- 株式会社サーバーワークス 情報システム課。2011年にサーバーワークスに新卒入社。入社後、AWSのインテグレーション部門に所属し、お客様へのAWSの導入、設計、構築、運用を担当。現在は、以前から兼任していた情報システム部門に専任として所属し、自社の社内システムの管理運用を行いつつ、そのノウハウをお客様に展開する業務に携わる。現在の担当は分野は、Amazon WorkSpacesやシングル・サイン・オンなどのSaaSソリューション。