Gluegent Gateの運用パターン - シングルサインオン編 -
以前の記事「Gluegent Gateの運用パターン - アクセス制御編 -」において、Gluegent Gate でアクセスを制御する運用のパターンをいくつかご紹介しました。今回は、もう一方の主要機能「シングルサインオン」についての運用パターンを見ていきます。
シングルサインオン
シングルサインオン(SSO)とは、簡単に表現すると、「一回のログインをもって、複数のサービスを利用可能にする」という仕組みです。Gluegent Gate では、高度な連携が出来る既定のサービスをはじめとして、SAML2.0に対応するサービスや、SAML2.0に対応していない一般的なWebサービスも、SSOの対象サービスとして登録することができます。
Gluegent Gate にログインすることでこれらのサービスに個別にログインすることなく、利用することができます。SSOの世界では、認証する役割をID Provider (IdP)、利用したいサービスをService Provider(SP)と言います。ここでは、Gluegent Gate が、IdPで、登録されるサービスがSPということになります。以下にGluegent Gate が扱えるSPを簡単にご紹介します。
1. 既定のSP Gluegent Gate では、多くのサービスが既定のSPとして利用可能です。SSOの文脈では認証の連携をするのみですが、既定のサービスでは、認証以外にも、プロビジョニングの機能を提供するなど、より高度な連携が可能です。現時点では、G Suite、Office 365、cybozu.com、Box、Dropbox、Salesforce、Mail Luck!、PrimeDriveなどに対応しています。
2. SAML2.0対応のSP SAML2.0は、SSOの仕様として事実上の標準となっており、多くのサービスがSPとして動作します。ただ、仕様として定められているものの、実際の実装にはサービス毎に若干のばらつきがあります。Gluegent Gate では、個別の設定をすることでSPとして登録することが出来ます。
実際の運用パターン
代理認証でレガシー対応
まず、G Suiteや、Office 365といったメジャーなクラウドサービスの利用のために、アクセス制御を目的として導入するケースが多くあります。これまで、社内にサーバを置いてグループウェアを利用していたお客様が、G SuiteやOffice 365に移行する場合、多くのニーズは、移行先で満たせます。ただ、業務の内容によっては、どうしても既存のサービスを利用しなければいけない場合があります。その場合には、「既定のSPでクラウド型グループウェア 、代理認証で 既存サービス」というような運用となります。既存サービスを置き去りにせず、SSOの世界に入れることで、利便性が損なわれることがありません。
汎用SAMLで各種クラウドサービスをトッピング
クラウドサービスが当たり前の状況となってから、G SuiteやOffice 365のような多機能なサービスとは別に、特定の単機能に特化したサービスも多く提供されています。多くのお客様は、一般的なオフィススイートとして、G Suiteか、Office 365を使い、足りない部分を単機能のクラウドサービスで補うような運用をされています。
その場合は、SPとして登録して、SSOの仲間にしてしまいます。メジャーなサービスは既定のSPとして提供しています(今後も対応を増やしていきます)し、現時点で対応できていなくても、汎用SAMLを利用すれば、SPとして登録可能です。 高度な機能が月単位で少人数でも利用可能になっている時代です。トッピング感覚でSSOに取り込むことでシームレスにサービスを利用できます。
シングルサインオンでユーザの利便性を追求し、さらに...
ビジネスで使うサービスは、今後も増加していきますし、捨てきれないレガシーサービスもあります。これらをまるっとSSOに取り込むことで、利用者は本来の仕事のために頭と時間を使うことができます。さらに、認証を一箇所で管理することで、前回の記事で触れた「アクセス制御」も一元管理できます。もうひとつのポイントの「ID管理」も一箇所で完結します。ユーザの利便性を追求することと、セキュリティの強化および、管理工数の削減を同時に実現可能です。