従来のクラウドサービス運用とその課題
従来、クラウドサービスへのユーザーのアカウント追加・削除は、システム管理者が手動で行う必要があり、これが運用コストとセキュリティリスクの増大につながっていました。
新たに従業員が入社すると、管理者はActive Directoryのアカウントやオンプレミスアプリケーションのアカウントを作成し、その後、クラウドサービスのアカウントを手動で作成します。この過程で多くの時間と労力がかかっています。そのため、新入社員が社内のリソースにはアクセスできてもクラウドの業務システムにアクセスできずに業務が開始できないという事態が起こりえます。さらに、従業員の退職時には、迅速なアカウント削除(デプロビジョニング)が不可欠で、適切な管理がされないと情報漏洩(セキュリティリスク)が生じます。また、利用していないアカウントが残ったままであると、セキュリティリスク以外に無駄なライセンスコストの発生という課題も生じます。
OneLogin社の調査によると、米国の従業員数500名以上の企業のIT管理者・セキュリティ責任者にアンケートを実施したところ、約48%の企業で退職後も退職者は企業のリソースにアクセスできていたと回答している。また約25%の管理者は元従業員のアカウント削除に1週間以上かかっていると回答したことがわかった。
48% 退職者が企業リソースにアクセス
25% 退職者アカウントの解除手続きに1週間以上かかっている
25% 退職者アカウントの有効期限を把握していない
25% 退職者アカウントの解除手続きに1週間以上かかっている
25% 退職者アカウントの有効期限を把握していない
出典元:OneLogin社「New Research from OneLogin Finds over 50% of Ex-Employees Still Have Access to Corporate Applications」
OneLoginは、従来の手法では密接な連携ができなかったActive Directoryのアカウント追加・変更・削除のイベントとクラウドサービスのアカウント管理とをリアルタイムに自動連携します。これはSSO(シングルサインオン)とMFA(多要素認証)も考慮に入れ、IDaaS(Identity as a Service)の一環として機能します。また、Office 365やG Suite、Salesforce.com、Boxに代表される主要なクラウドサービスでは、アカウントの追加・変更・削除にとどまらず、クラウドサービス内のアプリケーションのライセンスアサインやActive Directoryの属性情報をクラウドサービスに渡したり、属性情報を利用した人事異動の際のアクセス権の変更までをも自動化できるようになりました。
ディレクトリサービスとOneLoginのユーザー管理の一元化
LDAP、Active Directory、Azure AD、Workdayからユーザーアカウントを作成すると、OneLoginのIDaaS(Identity as a Service)プラットフォーム上にも自動的にアカウントが作成されます。これはOneLoginのディレクトリ連携によるものですが、これによってオンプレミスのディレクトリサービスとOneLogin上のアカウントがSAMLを活用して自動連携されます。
ユーザープロビジョニングと認証
Active Directory上で行ったユーザー追加・変更・削除を検出し、クラウドサービスのユーザー情報に自動反映します。例えば、営業部OUにユーザーを追加したら、Salesforce.com上にも自動的にユーザーが作成され、SSOによってすぐに利用できるようになります。
ユーザー属性によるマッピング
OneLoginのユーザープロビジョニング機能を使用して、「特定のグループメンバーには特定のアプリケーションを提供する」といった形で、事前に設定されたルールに基づき、Active Directoryなどのディレクトリサービスの属性情報を利用して、管理業務を効率化します。
ライセンスプロビジョニング
Office 365などのクラウドサービスにおいては、単純なアカウントの追加・削除に留まらず、クラウドサービス内の「どのアプリケーション」を「誰に割り当てるのか」までをも自動化できます。対象のユーザーが退職などでクラウドサービスを利用しなくなった場合、そのライセンスを新規ユーザーに自動的に割り当てるといった運用も可能です。
プロビジョニング可能なクラウドサービス例
OneLoginは主要なクラウドサービスに対するプロビジョニングを実現しています。以下は対応しているクラウドサービスの一例です。これ以外のクラウドサービスでお客様がお使いのクラウドサービスがプロビジョニングに対応しているかどうかは弊社にお問合せください。
- Adobe Sign
- Amazon Web Services
- Box
- Docusign
- Dropbox
- Evernote
- Github Enterprise Cloud
- G Suite
- NetSuite
- Office 365
- RemedyForce
- Salesforce.com
- ServiceNow
- Slack
- Trello
- WebEx Enterprise
- Workday Enterprise
- Workplace by Facebook
- ZenDesk
※対応製品・方式は随時変更されます。
Office 365のプロビジョニング例
OneLoginからOffice365に以下の情報を渡すことが可能です。この機能を利用することでActive Directoryのユーザー属性で持っている情報をOffice 365のユーザー情報に転送することが可能になります。
- 市区町村
- メールアドレス
- 携帯番号
- 割当てるライセンス
- 都道府県
- 役職
- 国/地域
- 電話番号
- Office 365のグループ
- 事業所
- 市区町村
- 言語
- 表示名
- FAX番号
- 部署
- 郵便番号
- 番地
※転送できる情報は変更される場合があります
Boxのプロビジョニング例
Active DirectoryからOneLoginを通じてBoxにプロビジョニングすることで、Boxアカウントに対して以下の操作が可能になります。
| アカウント | 作成・削除・更新 | Boxアカウントの作成・削除・更新が可能です。"その他"項目の内容を作成時にプロビジョニングすることができます。 |
|---|---|---|
| フォルダー | 作成 | 新規Boxユーザー作成時に同時にユーザーフォルダーの作成が可能です。既存ユーザーに対してもそのユーザー向けのフォルダーを新規作成できます。 |
| グループ | 作成・更新 | Box上に新規グループを作成し、かつOneLoginの属性を元に当該グループへの割当を自動化します。また、既存のグループに対してユーザーの再割当も可能です。 |
| ロール | 更新 | OneLoginの属性を元にBoxのロールを設定できます。 |
| その他 | プロビジョニング 可能な項目 |
|
SCIMによるユーザープロビジョニング
OneLoginではSCIM(System for Cross-domain Identity Management)に対応したアプリケーションのプロビジョニングを実現するためのSCIMプロビジョニングコネクターも用意しています。
退職者の確実なアカウント消去とコンプライアンス
退職者の確実なアカウント停止・消去はクラウドサービス利用におけるセキュリティの要です。OneLoginではプロビジョニング機能を利用することでアカウント作成を自動化できるだけでなく、退職者には確実なアカウント停止・削除(デプロビジョニング)、さらにアカウント停止・削除の記録はレポートで確認できますので、コンプライアンスの向上に役立ちます。
関連ページ:
増大するアカウントプロビジョニングの負担。集中化・自動化できる基盤の確立が不可欠に
