G Suite, Salesforce, Azure ADからクラウドサービスにシングルサインオン

2018/12/12

1.jpg

「業務利用するクラウドサービスが増えてきたので、各種クラウドサービスにワンクリックでログインできる『シングルサインオン』には興味がある。しかし、シングルサインオンのために、またIDを増やしたくない」。

このように思われるシステム管理者の方は少なくないのではないでしょうか。今回は、既に企業で利用している G Suite, Salesforce, Azure Active Directory (Azure AD) を利用して、当社トラスト・ログインのシングルサインオンサービスを利用する方法についてご紹介します。

 

 

他サービスIDを利用してシングルサインオンするメリット

2.jpg

G Suite, Salesforce, Azure ADといった、既に社内で利用しているサービスのIDを、そのままシングルサインオンのIDとして利用することには、5つのメリットがあります。

 

1.管理すべきIDを増やさずに済む

「クラウドサービスのシングルサインオンを利用するのがよいが、クラウド シングルサインオンを行うためだけの新しいIDが1つできてしまうのか」と思われるシステム管理者は少なくありません。例えば、弊社のトラスト・ログインはクラウド シングルサインオンを実現するためのサービスですが、通常トラスト・ログイン用のID・パスワードの管理が必要になります。

これが、既に利用しているID・パスワードをトラスト・ログインで利用する場合、トラスト・ログインが新たにID・パスワードを発行しないため、既に利用しているID・パスワードと連携して利用できます。よって、「IDパスワード管理集約のために、新たなIDパスワードが必要となる」自体は起こらなくなります。管理するIDが少なければ、当然ID管理に必要となる工数が削減できます。

 

2.現在のID管理体系をそのまま維持できる

多くの企業・組織では、基幹となるIDに対して他のサービスを連携させたり、他のシステムでのユーザー管理時に「ユーザーを識別する『マスター』となるID」という扱いをしていることが多いようです。

多くのオンプレミス、クラウドのサービスを利用している企業は、既にID管理体系が出来上がっています。これを大幅に変更してしまうと、他の部分で不具合が生じる可能性があるので、できるだけ手を入れたくないと考えている場合が多いかと思います。特に従業員数が多い大企業になればなるほど、管理体系が出来上がっている例がほとんどです。

トラスト・ログインであれば、G Suite, Salesforce, Azure ADといった、各企業で基幹となるIDとして利用されることが多いサービスを網羅しています。例えば、Azure ADをマスターとして利用している企業であれば、トラスト・ログインを「Azure ADにぶら下げて利用する」ことで、既存の管理体系をそのまま維持したままクラウド シングルサインオンを導入できます。

 

3.セキュリティ強化につながる

会社として管理するIDの数が減るということは、IDが漏えいする可能性自体が減ることを意味します。数多くのIDを管理するよりも、限られたIDを管理する方が、行き届いた管理ができます。そしてユーザーの視点からみても、IDの数が少ない方が「パスワードを記憶していられる」「覚えられないパスワードを紙やExcelなどに書き留めずに済む」「パスワードを使い回さずに済む」といったメリットがあります。

「たくさんあるIDをそれぞれ安全に管理する」のもよいですが、それよりも「ID自体をできるだけ少なくする」ほうがセキュリティとしては効果的です。

 

4.一般ユーザーからの抵抗がほとんどない

企業の従業員(一般ユーザー)からすると、新しいシステムが導入されて、ID・パスワードが増えると、基本「面倒なのが来たな」「また色々と覚えなければならないことが増える」と否定的に認識されてしまいます。以下のような流れを思い浮かべてしまう一般ユーザーも多いのではないでしょうか。

  • 新しいシステムが導入される
  • 新しいID・パスワードが付与され、適切に管理しろと指示される
  • とはいえ、新しいID・パスワードは使い慣れてないので忘れてしまいがち
  • パスワードを忘れてしまうと、すぐに作業に取り掛かれないだけでなく、システム部門に問合せが必要となる場合がある
  • パスワード再発行はすぐに完了できるとも限らないので、この間はシステム利用できず業務が停滞してしまう。また、システム部門の対応時間外になると、翌日まで待つ必要が生じる

しかし、既に利用しているID・パスワードをそのまま利用して、クラウド シングルサインオンを利用できるのであれば、新たなID・パスワードを覚えたり管理したりする必要もないため、パスワード忘れもまず発生しません。よって、ユーザーからの抵抗感は非常に少なくなります。

 

5.一般ユーザーへの問合せ工数が削減できる

ID・パスワードが多いと、システム部門で各種IDを網羅的に管理していたとしても、ユーザーからの問合せはなかなか減りません。例えば、「普段使わないシステムを利用しようとしたら。IDやパスワードを忘れていた」「まだ一度もシステムを利用したことがないが、初期パスワードが書かれたメールを紛失した」「いますぐログインが必要なので急ぎの対応が必要」「自動リセットツールでパスワードリセットしたが、うまくいかない」といったものです。

・参考記事
 [情報システム部門]「パスワード忘れた」と言わせない!パスワードリセットを減らす5つの方法

自動のパスワードリセットツールなどで対応できないシステム/サービスの場合は、システム部門のヘルプデスクの人員がマニュアルで対応しなければなりません。特に、従業員の急ぎの対応だったり、役職者への対応は優先的に行う必要があるため、ヘルプデスクのスタッフは日常業務を止めて対応する必要があります。

こうした対応が減らないと、システム部門の効果的な人員配置・コスト配分が行えない、ヘルプデスク人員を増加しなければ追いつかない、ヘルプデスクの残業が増えるなどのデメリットが生じます。結果として、システム部門の限られた予算のかなりの部分をユーザーサポートに割くことになってしまいます。

ID管理の観点から、問合せ工数を削減する最もよい方法は、管理するIDの数自体を減らしてしまうことです。既に利用しているG Suite, Salesforce, Azure ADなどと連携させられれば、普段利用しているこれらのIDをそのまま使えばよく、新たなID管理もユーザー対応も不要になります。

 

 

他サービスIDを利用してシングルサインオンするデメリット

3.jpg

では、他サービスIDを利用して、トラスト・ログインのようなクラウド シングルサインオン製品を利用するデメリットは何でしょうか。

これは、「G Suite, Salesforce, Azure ADといった、トラスト・ログインを紐づけているサービスを解約する際に手間がかかる」という点です。

例えば、トラスト・ログインのようなクラウド シングルサインオン製品を G SuiteのID・パスワードを利用して使っていたとします。しかし、ある時にG Suiteを解約して、「今後は全てのID・パスワードを別サービスに紐づけずに利用する」と決断した場合は、大変です。一般ユーザーは、トラスト・ログインのID・パスワードなど、これまで紐づいて運用していたたくさんのシステム/サービスのID・パスワードを一気に管理する必要に迫られるからです。

しかし、こうした事態はほぼ起こり得ません。というのも、「これまでG SuiteのID・パスワードで集約していた企業」は、万が一G Suiteを解約したとしても、Azure ADやSalesforceなどの「G Suiteと同様に複数サービスをまとめて管理できるサービスに移行」する場合が多いためです。IT管理者は、紐づけ直す手間はかかりますが、ユーザーからすると、「普段利用するID・パスワードが1つ変更になる」程度の影響しかありません。

 

 

G SuiteのIDを利用したトラスト・ログインクラウド シングルサインオン

4.jpg

G SuiteのIDを利用したトラスト・ログインへのログインの設定詳細は、こちらの「G suite 外部IDP連携の設定方法」をご覧ください。

G SuiteとIDとなるのは、普段利用しているメールアドレスです。トラスト・ログイン側にG Suiteと対応する、同じメールアドレスを持ったカウントを作成しておく必要があります。アカウントが作成されていれば、後は設定情報を入力するだけで、G Suiteのアカウント情報をトラスト・ログイン側に持ってくることができます。

これにより、アカウントの別管理が不要となり、新たなID・パスワードも不要となるので、管理者側・一般ユーザー側の両方にとってメリットになります。

 

 

SalesforceのIDを利用したトラスト・ログインクラウド シングルサインオン

5.jpg

SalesfofceのIDを利用したトラスト・ログインへのログインの設定詳細は、こちらの「Salesforce 外部IDP連携の設定方法」をご覧ください。

Salesforceでの管理ですが、G Suiteと同様、トラスト・ログイン側にSalesforceと対応する、同じメールアドレスを持ったカウントを作成しておく必要があります。同じメールアドレスを持つアカウントが作成されていれば、後は設定手順を進めていくだけで、Salesforceのアカウント情報をトラスト・ログイン側に持ってくることができます。

 

 

Azure ADのIDを利用したトラスト・ログインクラウド シングルサインオン

6.jpg

Azure ADのIDを利用したトラスト・ログインへのログインの設定詳細は、こちらの「Azure Active Directory 外部IDP連携の設定方法」をご覧ください。

Azure ADでの管理ですが、G SuiteやSalesforceと同様に、トラスト・ログイン側にAzure ADと対応する、同じメールアドレスを持ったカウントを作成しておく必要があります。同じメールアドレスを持つアカウントが作成されていれば、後は設定手順を進めていくだけで、Azure ADのアカウント情報をトラスト・ログイン側に持ってくることができます。

 

 

「アカウント作成」ではなく「アカウント連携→設定」で対応可能

7.jpg

これまでお伝えしてきました通り、G Suite、Salesforce、Azure ADのアカウントを利用してトラスト・ログインのクラウド シングルサインオンを利用することにより、一般ユーザー、システム管理者の双方にメリットがあります。

一般ユーザーは、クラウド シングルサインオン用のアカウントを新たに管理することなく、現在使っているアカウントでそのままトラスト・ログインのログイン、クラウドサービスをワンクリックで利用できます。IDパスワードを新たに覚える必要なく、ワンクリックで各種クラウドサービスへログインできるので、セキュリティと利便性の両方が高まります。

システム管理者からすると、既にメインで利用しているID、アカウント管理体系を全く変更せずに、それに紐づける形でトラスト・ログインのシングルサインオンを利用できます。新規にアカウントを導入する必要がなく、現在の管理体系の中でトラスト・ログインを管理して頂けるので、管理工数が最小化されます。

また、セキュリティの観点からすると、「管理するアカウントが多ければ多いほど、セキュリティの検討事項が多い」「アカウントが多いほどハッキングのリスクが高まる」事を考えると、管理するアカウントは1つでも少ないほうがよいと言えます。アカウントを増やさないことは、管理工数の削減に加えて、セキュリティの面でも望ましいでしょう。

当社GMOグローバルサインのクラウド型ID管理サービス「トラスト・ログイン」は、基本機能が無料でほぼ制限なく利用できるだけでなく、G Suite, Salesforce, Azure ADとの連携オプション(トラスト・ログインのIDの代わりのG SuiteなどのIDを利用して、クラウドサービスへのシングルサインオンを行う)はわずか1ユーザー100円(月額、税抜き)でご利用頂けます。工数削減とセキュリティ対策の観点で、ぜひご評価、ご検討を頂ければと存じます。