[クラウドへのシングルサインオン] Azure AD Premium1, Premium 2とトラスト・ログインを比較

2019/07/12

1.jpg

クラウドサービスへのシングルサインオンを検討する際、企業によって「Azure ADを構築し、その一機能であるシングルサインオン」を検討する場合もあれば、「ディレクトリとは別のシングルサインオンサービス単体」を検討する場合もあるのではないかと思います。

以下では、Azure ADに統合されたシングルサインオン機能を利用する場合(ライセンス契約は「Premium P1」もしくは「Premium P2」)と、ディレクトリとは別のシングルサインオンサービスである、当社のトラスト・ログインを利用した場合を比較してみたいと思います。なお、本記事は2019年6月時点の情報に基づいています。

 

 

シングルサインオンの導入

 2.jpg

まず、クラウドサービスへのシングルサインオンを導入する際の手順について比較・確認していきたいと思います。

 

Azure ADの場合

Azure ADでは、シングルサインオンはあくまで「Azure ADの一機能」として提供されます。よって、シングルサインオンの導入より先にあるのが、「Azure ADの構築」となります。

Azure ADに知見のある従業員が社内にいる場合は、Azure ADの構築はそこまで難しいものではありません。オンプレミスのActive Directoryと比べると、構築は容易であるため、早い場合は数時間程度で構築が完了できます。

この後で、Azure ADと「エンタープライズアプリケーション」の連携を行います。ここでいうエンタープライズアプリケーションは、各種クラウドサービスとなり、Azure ADに対応したクラウドサービスを選択して設定、ならびシングルサインオンの設定を行うという流れです。よって、シングルサインオンの利用開始までは、Azure ADにある程度詳しい人材がいた場合でも、数時間はかかるでしょう。

また、連携したいアプリケーションが対象外の場合、Azure ADの場合は「アプリケーション側で対応完了する」のを待つしかなく、自社で連携テンプレートを作成することができません。

 

トラスト・ログインの場合

特定のディレクトリに依存しない、クラウドサービス向けのシングルサインオン製品であるトラスト・ログインは、アカウント作成後にディレクトリを構築せずにすぐにユーザー登録ならびクラウドサービスのシングルサインオンの設定を行っていただけます。

クラウドサービスへのシングルサインオンを提供するトラスト・ログイン自体もSaaSであるため、トラスト・ログインの利用開始は、システムの「構築」というより、「利用」「設定」という言葉が適しています。Azure ADの構築と異なり、特段の知識や経験がない方でも、トラスト・ログインの管理画面を見て頂ければ、簡単にシングルサインオンを設定頂けます。

トラスト・ログインの登録後、早ければ数分から10数分程度でシングルサインオンを利用開始できます。

トラスト・ログインでは、連携対象となっていないアプリケーションの場合、連携テンプレートを作成依頼(有償)することで、連携が可能となります。このため、「ニッチなアプリケーションでどのIDaaSでも対応していないが、自社の基幹業務で利用している」様なアプリを連携対象に含めることが可能です。

 

 

対応クラウドサービス

3.jpg

Azure ADの場合

2019年6月時点で、Azure ADでは約3,100のアプリケーションに対応しています。この中には、Salesforce, Box, AWS, Dropbox, Atlassian, Github, Slack, Adobe Creative Cloudなど、海外製の有名サービスの多くを網羅しています。

4.png

逆に、日本企業のサービスはほぼ網羅されていないと考えたほうがよいでしょう。例えば、ヤフージャパン関連、楽天グループ関連、サイボウズ、OBCiD、SmartHR、Freeeなどはありません。自社の業務を海外製のサービスでほぼ統一している環境であれば支障が少ないでしょうが、国産のSaaS製品を使っているような場合は「抜け」が出てくるものと思われます。

 

トラスト・ログインの場合

2019年6月時点で、トラスト・ログインは5,200のアプリケーションに対応しています。海外の有名サービスに加えて、国産のSaaSを多数含んでいるのが特徴です。

5.png

Azure ADには含まれなかったヤフージャパン関連、楽天グループ関連、サイボウズ、OBCiD、SmartHR、Freeeなどが全て含まれています。よって、国産のSaaSを多く利用している企業でも、トラスト・ログインであればほぼ対応済と考えて問題ありません。なお、もし追加希望のサービスがあれば、ログイン後の画面からリクエストを送ることも可能です。

 

 

対応認証方法

6.jpg

Azure ADの場合

Azure ADでは、以下の認証方法を利用できます。

  • OpenID ConnectとOauth
  • SAML
  • パスワード認証
  • リンク (アプリケーションが別サービスのシングルサインオンを設定している場合)
  • 統合 Windows 認証 (IWA)
  • ヘッダー認証 (要Azure AD用のPingAccess)

 

トラスト・ログインの場合

  • SAML
  • パスワード認証

なお、OpenID Connect, Oauth, Windows認証 (IWA)は開発予定です。

 

 

コスト

7.jpg

Azure ADの場合

Azure ADのコストは、「ドメイン構築費用」と「ライセンス費用」の2つに大別できます。

まず、ドメイン構築費用ですが、Azure ADの構築をシステム会社に依頼した際に発生する費用となります。費用は、作成するドメインの規模や構成、依頼する会社により異なります。

次にライセンス費用です。Azure ADでは Premium P1 もしくは Premium P2 でなければ、シングルサインオンのアプリケーション数が10までに制限されるため、いずれかのプランの契約が必要となります。金額は以下の通りです。

  • Premium P1
    • 1ユーザーあたり672円 (年間契約必須)
  • Premium P2
    • 1ユーザーあたり1,008円 (年間契約必須)

なお、年間契約が必須となるため、契約年度中の途中解約は行えません。

 

トラスト・ログインの場合

トラスト・ログインは、1ユーザーあたり「機能ごとに課金 (1機能100円)」「PROプラン (300円)」「ENTERPRISE (500円)」という金額となります。なお、年間契約は必須ではありません。

トラスト・ログインは、設定が容易であり、情報システムに精通していない従業員でも利用できるため、Azure ADのような「構築」作業は不要です。よって、外部の会社に設定を依頼する必要はまずないといってよいでしょう。

なお、Azure ADとトラスト・ログインは併用可能です。クラウドへのシングルサインオンをAzure ADのPremium 1もしくはPremium 2を利用せずに、トラスト・ログインを利用することも可能です。そして、トラスト・ログインが持つ「外部IDP連携機能」を利用して、トラスト・ログインとAzure ADを連携させることも可能です。この連携機能を使うことで管理工数が削減できます。

逆に、Azure ADから見て、トラスト・ログインをSPとして連携させることで、クラウドではなく社内のWebアプリをトラスト・ログインに認証させるという方法もあります。

 

 

どちらのサービスを利用すべきか

8.jpg

Azure ADのシングルサインオン利用したほうがよい場合

  • Microsoft製品をメインで利用している場合。
  • 多くの認証方法を利用したい場合。
  • 国産のクラウドサービス利用が少ない場合。
  • 自社社内のWebシステムなどのパスワード認証をシングルサインオン対象としない場合。

 

トラスト・ログインを利用したほうがよい場合

  • 国産問わず各種クラウドサービスを幅広く利用しようとしている場合。
  • 社内独自ウエブシステムや取引先ウエブシステムのパスワードが多くある場合。
  • 直ぐに試して導入可否を判断したい。スモールスタートしたい場合。
  • シングルサインオン利用時のコストを抑えたい場合。

 

Azure ADとトラスト・ログインを共存併用したほうがよい場合

  • ユーザー数が多く、Microsoft製品も多数利用しているなかで、国内外のクラウドサービスを利用している、または今後利用開始する予定の場合。
  • 社内Webシステムや取引先Webシステムの利用が数十を超える場合。
  • 社外からのアクセス制限、MDM利用も同時並行で検討している場合。
  • オンプレミス型のシングルサインオン製品があり、そこからの移行を検討している場合。

 

以上、ご参考になれば幸いです。