Gluegent Blog

Gluegent Blog

Gluegent Gate と SSO設定したG Suite のパスワードはどうなる?

  • Gluegent Gate
x facebook Line url copyコピーしました
Gluegent Gate と SSO設定したG Suite のパスワードはどうなる?

Gluegent Gateは、G Suite(旧 Google Apps )やOffice 365等、様々なクラウドサービスとシングルサインオン(SSO)を実現することができるサービスです。

様々なクラウドサービスでSSOの設定ができますが、SSO 設定時の挙動はサービスごとに異なることが多いです。
例えば、サービスへ直接アクセスできたり、できなかったり、管理者だけアクセスできたり、G Suite などではIMAPでアクセスする場合はSSO経由とならなかったりと多岐にわたります。
Gluegent Gateでは、SSO設定時に指定するパスワード同期ルールとして3種類選べますが、それぞれの特徴と G Suite 利用時を例に取って、同期ルール選択時の考え方についてご紹介します。

Gluegent Gateのパスワード同期ルール

Gluegent Gate とG Suite との間にシングルサインオン(SSO)設定を行っているとき、G Suite のパスワードはどうなっているのでしょうか。
SSO設定を行うと、G Suite へのログイン時にはGluegent Gateのログイン画面が表示されます。ここで入力するパスワードは G Suite への同期有無について、Gluegent Gateのパスワード同期ルールの設定で変更することができます。
Gluegent Gateのパスワード同期ルールは「なし」「シングルサインオンのパスワード」「ランダムパスワード」の三種類から選択します。 以下にそれぞれの設定の内容について説明していきます。
(1)パスワード同期=「なし」 Gluegent Gateのパスワードは G Suite には同期されません。 Gluegent Gateにユーザーを作成した時、G Suite に同期され、G Suite 側にユーザーが作成されます。この時、G Suite 側のユーザーのパスワードはランダム値が設定されます。 その後、ユーザーや管理者がGluegent Gate側のパスワードを変更しても G Suite には同期されません。 つまり、G Suite 側のパスワードは最初に作成された時のまま変化しません。
(2)パスワード同期=「シングルサインオンのパスワード」 Gluegent Gateのパスワードは G Suite に同期されます。 Gluegent Gateにユーザーを作成した時、G Suite に同期され、G Suite 側にユーザーが作成されます。この時、Gluegent Gateのパスワードと同じ値が G Suite 側のパスワードに設定されます。 その後、ユーザーや管理者がGluegent Gate側のパスワードを変更すると G Suite に同期されます。 つまり、Gluegent Gateと G Suite のパスワードは常に同じ値となります。
(3)パスワード同期=「ランダムパスワード」 Gluegent Gateのパスワードは同期されず、G Suite のパスワードにはランダムな値が設定されます。 Gluegent Gateにユーザーを作成した時、G Suite に同期され、G Suite 側にユーザーが作成されます。この時「なし」と同じように G Suite 側のユーザーのパスワードはランダム値が設定されます。
その後、ユーザーや管理者がGluegent Gate側のパスワードを変更するとランダムな値が G Suite のパスワードに設定されます。 つまり、G Suite 側のパスワードは常にランダム値が設定されます。

どのパスワード同期ルールを選択するべきか?

それぞれのパスワード同期ルールの特徴はお分かりいただけましたでしょうか。 では、それぞれのパスワード同期ルールはどのように選択すればいいでしょう。それは G Suite の利用シーンにより異なります。 「なし」の特徴は G Suite のパスワードは変更されないことです。もし G Suite の管理コンソールで G Suite 側のパスワードを変更しても大丈夫です。 例えば、特定のユーザーにのみ POP / IMAP を使ってメールを受信させる、あるいは SMTP を使って自動的にメールを送信するといったことを行いたい場合は「なし」を選択しましょう。
ユーザーがGluegent Gate側のパスワードを変更しても G Suite 側は変更されませんので、その都度設定を変更する必要がありません。 管理者がエンドユーザーのパスワードを伝えることなく上記のようなことを実現する場合、有効となるでしょう。
「シングルサインオンのパスワード」の特徴はGluegent Gateと G Suite のパスワードが一致していることです。万が一Gluegent Gateが障害により使えなくなったら(そんなことはありませんが!)シングルサインオンの設定を解除して、G Suite のログイン画面からログインすることになります。G Suite のパスワードがランダム値だった場合、G Suite のパスワードを全ユーザーに一括で変更する必要があります。ですが、それを告知する術は・・・?そういったときに、Gluegent Gateと G Suite のパスワードが一致していれば、ログイン画面は変わりますが、エンドユーザーはいつもと同じパスワードでログインができるようになります。 「ランダムパスワード」の特徴は G Suite のパスワードが常にランダム値であることです。G Suite 側にどんなパスワードが設定されているかは誰も知り得ないので、安全でおすすめです。
いかがだったでしょうか。本記事ではG Suiteを中心に説明しましたが、パスワード同期ルールは cybozu.com、Mail Luck!、PrimeDrive、Salesforce でも利用できます。お客様の運用に合わせてお選びください。