好きな所から読む
シングルサインオン(SSO)導入への挑戦
クラウドアプリケーションの導入率はここ数年で劇的に高まっています。Sansan、SmartHR、Dropbox、Office 365などのクラウドアプリケーションが企業全体に展開されています。その結果、多くの企業がクラウドアプリケーション用のポリシーを策定しているか、近い将来に策定しようとしています。ゼロトラストネットワークアクセス(ZTNA)の実現もこの流れの一貫です。(ゼロトラストの原理や原則を詳しく知りたい方はこちらもご覧ください。)
今日、多くの企業は、シングルサインオン(SSO)の導入を検討しており、ユーザーは、各アプリケーションに個別に認証することなく、すべてのクラウドアプリケーションやWebアプリケーションに簡単にアクセスできるようになっています。また、すべてのクラウドアプリケーションを単一の認証リソース(多くの場合、Microsoft社のActive Directory)に接続したいと考えています。そして大抵の場合、Active Directoryに対してシングルサインオンを実現するソリューションとしては、Active Directory Federation Services(ADFS)であると結論づけている。
しかし、すべてのActive Directory統合ソリューションが同じように作られているわけではありません。
ADFSを検討しているIT部門は、SSOのためにADFSを実装するためのあらゆる側面を検討する必要があります。ADFSのライセンスは無料ですが、セットアップ、継続的な保守運用、ハードウェアのメンテナンスなど、ADFSには顕在化していない多くの隠れたコストがかかります。また、プロビジョニング、モバイルデバイス時のアクセス管理、アクセス履歴やアクセスレポート、昨今多くの企業が利用している何千ものクラウドアプリケーションとの事前統合、そしてそのサポートなど、完璧にID管理ソリューションを利用したいのであれば、ID管理には何か必要なのかをしっかりと理解した上でソリューションを検討していく必要があります。
この記事では、SSOを上手に運用するためのコツと、それを踏まえてオンプレミス型のADFSから、100%クラウドベースなソリューションへ移行することのメリットを説明します。
シングルサインオンの導入成功に求められる要件
シングルサインオンのソリューションを検討する際には、考慮すべき点がたくさんあります。成功を確実にするためには、いくつかの重要な要素に焦点を当てることが必要です。これらの要素の多くは、最初は取るに足らないように見えるかもしれません。しかし、企業が成長し、より多くのアプリケーションを採用するようになると、後になって大きな負債となって顕在化していく可能性があります。
| Active Directoryとの統合 | 企業がActive Directoryを使用している場合、その前提を踏まえて、SSOをサポートするクラウドアプリケーションとActive Directoryを統合していく必要があります。そして最終的には、ゼロトラストセキュリティの実現が求められるでしょう。オンプレ・社内ネットワーク・VPNを主体とした境界型からゼロトラストネットワークへの移行は他の記事で詳しく解説しています。 |
| アプリケーションとの統合や付随するサポート | 将来に渡って活用される様々なアプリケーションをサポートできるSSOソリューションなのかどうかは、全社的な導入を検討する際に常に考慮する必要があります。目下統合されるクラウド・アプリケーションは1つか2つかもしれませんが、会社の長期的な戦略の中ではどうでしょうか?アプリケーションの規模が大きくなると、時間の経過とともに変化する構成要件が異なる場合があり、情報システム部の担当者が個々のアプリケーションを管理する必要があります。各アプリケーションとの統合に付随する労力や設定は、従業員とIT予算の両方に負担をかけることになります。 |
| 高いシステムの可用性 | SSOのソリューションに対して発生するダウンタイムは、ユーザー(従業員やパートナー)のダウンタイムを意味します。このダウンタイムは計画されている場合もありますが、予期せぬ場合もあります。業務に関わるシステムは、その状況のいかんを問わずに稼働し続けられるように機敏でなければなりません。SSOのサービスでダウンタイムが発生するということは、最終的にユーザとビジネス全体の生産性を大幅に低下させます。 |
| ユーザー情報をクラウドのアプリケーションへとプロビジョニング | プロビジョニングには、アプリケーションやその他のリソースへのアクセスを作成、更新、削除することが含まれます。平均して、情報システム部門の担当者はプロビジョニングまたはデプロビジョニングの各リクエストを処理するのに 30 分かかります。これには、パスワードのリセットや従業員のすべてのデバイスの設定のためのヘルプデスクの呼び出しは含まれていません。プロビジョニングとユーザーライフサイクル管理を自動化することで、情報システム部門の担当者は貴重な時間と不必要なフラストレーションを節約することができます。 |
| スマートフォンを活用する状況に合わせたログイン | モバイル端末は、チームの生産性を新たなレベルに引き上げるための次なるものかもしれませんが、セキュリティの問題を解決することが足かせになっています。SSOのソリューションは、すでに使用しているモバイルデバイス管理(MDM)ソリューションと統合する必要があります。管理されていないデバイスからアプリケーションやデータにアクセスされるるのを防ぐため、ポリシーを設定できるようにする必要があります。またセキュリティを高めるために、モバイルデバイスなどを使用した多要素認証(MFA)をサポートする必要があります。 |
| ドメインの統合の容易さ | 合併や買収によって異なる企業とそのリソースが一緒になった場合、セキュリティ上ドメイン、ツール、およびアプローチを統合することが課題になることがあります。クラウドベースの最新のSSOアプローチは、このプロセスを迅速化し、簡素化することができます。 |
| アクセスログとレポート | 多くの規制機関・監査機関は、従業員がどのようなアプリケーションやシステムにアクセスしたか(またはアクセスしたことがあるか)を可視化することを含め、ユーザーの監査証跡を要求しています。情報システム部門は、離職する従業員のためにアプリケーションのデプロビジョニングに関する詳細を提供する必要があります。理想的なSSOソリューションは、情報システム部の担当者が必要な企業や業界の報告要件を迅速に満たすために、利用情報を手間なく収集することができなければなりません。 |
シングルサインオンとしてのADFSを利用する場合
実際にADFSを利用する顧客は、Active Directoryからファイアウォール外のクラウドアプリケーションにIDを拡張するために、Microsoft社のActive Directory Federation Services(ADFS)を利用しています。ADFS自体は「無料」のソリューションですが、複数のハードウェア・コンポーネント、追加のMicrosoftソフトウェア、大規模な構成とメンテナンスが必要です。SSOにADFSを使用する企業は、SSOソリューションの最低限の要件を満たすために、複雑な構成要件と他のリソースへの依存に直面していることになります。
ADFSの構成要素
SSOのニーズにADFSを使用することを検討する際には、基礎となるすべてのコンポーネントを理解することが必須です。ADFS自体は、ADFSサーバ、ADFSサーバファームと外部アプリケーションの間にインストールされるフェデレーションサービスプロキシ、ADFS構成データベースの3つで構成されています。
ADFSは元々、シングルサインオンのニーズに対応するエンドツーエンドのソリューションではなく、Windows Serverの機能であるツールキットとして開発されました。ツールキットは柔軟性がありますが、業務によりフィットする完全なソリューションを開発するためにはかなりの追加作業が必要になります。また、これは情報システム部門が実行しなければならない作業です。導入の前段階で、それなりの工数がかかる形になります。
各ADFSコンポーネントは、対象となるクラウドアプリケーションへのSSO接続を理解、構成、および維持するために、カスタム開発と管理に時間を要するため、多数のアプリケーションをサポートするためにスケールアウトすることは非常に困難です。
ADFSのカスタマイズ性
ADFSをSSO用に設定するには、各クラウドアプリケーションで認証を有効にするために、ユーザーの認証、アクセスの認証、クレームルールの生成などのポリシーを設定する必要があります。このためには、ADFSサービスにバインドする有効なSSL証明書を使用して、ADFSと対象のアプリケーション間の通信に安全性を確立する必要があります。テストでは自己署名証明書で十分ですが、本番環境ではサードパーティの署名付き証明書が必要です。安全が確立されたら、対象のクラウドアプリケーションで認証するためのクレーム・ルールを生成する必要があります。各アプリケーションのクレームルールを見つけることは、以前はADFS管理者の手動プロセスでしたが、ADFS 2016の新しいアクセス制御ポリシーテンプレートにより、多少改善されています。
アプリケーションごとのルールは時間の経過とともに変更され、結局SSOの統合が無効になる可能性があります。これらのアプリケーションの変更を常に把握し、それに応じてアクセス制御ポリシーを更新する必要があります。
ADFSインフラストラクチャを確立し、各対象のクラウドアプリケーションに適切なクレームルールを開発したら、ユーザーが実際にSSOを使用してこれらのアプリケーションにアクセスする方法を決定する必要があります。最も一般的な方法は、Azure Active Directoryを介して行うことです。
シングルサインオンとプロビジョニング
企業が目下 1 つのアプリケーションから、今後 3 年間で 5 つまたは 6 つのアプリケーションにスケールして活用する場合、そしてそのシングルサインオンにADFSを使用するつもりならば、新しいアプリケーションへの接続はそれぞれ手動で構成する必要があります。各アプリケーションが企業のネットワークやインフラストラクチャと接続された状態を維持するために、定期的なメンテナンスを行う準備をしておきましょう。これは大きな先行費用には見えないかもしれませんが、各新しいアプリケーションに必要な工数は、規模の経済性を考慮しても減ることはありません。
ADFSを使用してActive DirectoryからSSO用のアプリケーションを統合するには、すべてのユーザーのレプリカをAzure Active Directoryに登録する必要があります。そしてそのためには、Azure Active Directory上のMicrosoftのクラウドベースのIDおよびアクセス管理ソリューションであるMicrosoft Enterprise Mobility + Security(EMS)のライセンスが必要になります。
ADFSによるプロビジョニングとライフサイクル管理には、さらに別のツールであるMicrosoft Identity Manager (MIM)の購入と設定が必要となります(以前はForefront Identity Managerと呼ばれていました)。
ADFSからIDaaSに移行する事のメリット
企業がすでにADFSを導入しているが、より多くのクラウドアプリケーションや機能をサポートするためにカバレッジを拡大したいと考えている場合、IDaaSを追加することでいくつかのメリットを得ることができます。
シンプルさ
昨今のIDaaSを提供している多くの企業は、ADFSの機能性に着目し、ADFSの優れた点をスケーラブルなクラウドプラットフォームに構築しました。IDaaSは、フルデプロイメントとサービスの可用性を管理し、大規模で複雑なオンプレミスのアイデンティティフェデレーションインフラストラクチャを凌駕する信頼性を提供します。
IDaaSは統合されたID管理サービスであり、あらゆるデバイスから、どこからでも、いつでも、安全に人々をアプリケーションに接続できるように設計されています。
Active Directoryとの統合
IDaaSのクラウドプラットフォームは、既存のActive Directoryインフラストラクチャとの安全な統合を提供する100%オンデマンドの提供です。
IDaaSのコアサービスは、社内ネットワーク配下にいちするオンプレミスサーバーに設置されたActive Directoryとも連携は可能な場合がございますが、アプライアンスやサーバーを購入したりメンテナンスしたりする必要はありません。IDaaSの提供するプロキシーやエージェントは、HTTPSを介して安全な送信専用の接続を行いますが、ファイアウォールの設定を変更する必要はありません。
IDaaSは、代理認証、プロビジョニングとデプロビジョニング、ディレクトリ同期、およびADパスワード管理をサポートしています。Active DirectoryとIDaaSの間でどちらかの方向に変更が発生した場合はいつでも、それらの変更は即座に同期されます。管理者は、IDaaSのディレクトリ内ユーザーを非アクティブ化することができ、その業務に連動させてActive Directory内のユーザーの記録も即座に非アクティブ化されます。
各種アプリケーションを簡単にシングルサインオンに統合ができる
IDaaSの提供する連携ネットワークは、事前に統合されたビジネスおよび個人向けアプリケーション、インフラストラクチャ、デバイスの大規模なカタログになっています。エンドユーザーはプロビジョニングされたアプリケーションに簡単にアクセスできる、アプリケーションポータルを簡単に見ることができます。クラウドベースのIDaaSは、ADFSなどに比べて遥かに短期間で導入が可能です。
高いシステムの可用性
たとえ計画的なメンテナンスであっても、SSOソリューションがダウンするタイミングは決してありません。IDaaSのクラウドプラットフォームは、99.9%の稼働率と計画的なダウンタイムゼロを保証するように(SLAがあるケースが大半)構築されています。IDaaSのクラウドアーキテクチャは、100%マルチテナント、ステートレスで、複数のアベイラビリティゾーンとリージョンにわたって非常に冗長性があります。IDaaSのプロバイダーは、クラウドアプリケーションの接続を継続的に管理・監視しているため、基盤となるアプリケーションの変更を心配する必要はありません。従業員/パートナー/顧客は、ビジネスに不可欠なアプリケーションに途切れることなくアクセスすることができます。
ユーザー情報をクラウドのアプリケーションへとプロビジョニング
IDaaSはグループベースの管理システムをサポートしており、Active Directoryで定義されたジョブロールに基づいてユーザーに一連のアプリケーションを提供することができます。従業員が企業内で役割を切り替えた場合、IDaaSはActive Directoryの従業員記録の変更に基づいて、そのユーザーがアクセスできるアプリケーションを自動的に更新します。逆に特定の従業員が退社すると、IDaaSはActive Directoryのステータスの変更を検出し、すべてのアクセスを自動的に削除します。
端末の状況に合わせたアクセス制御
IDaaSの一部の事業者は柔軟なアクセス制御に対応しています。ユーザーやデバイスがどのようにアクセスするかを多要素認証などを用いて管理することで、リスクを軽減することができます。
企業のリソースに多要素認証やデバイス認証を組み合わせる事により、ポリシーに則って承認されたユーザーとデバイスのみが、企業が保有するアプリケーションやデータにアクセスできるようにします。
IDaaSを使用することで、企業は何千ものアプリケーションとアクセスに利用されるデバイスに対して、きめ細かなアクセス制御を実施することができます。IDaaSの中にはリスクベース認証を提供している事業者もいます。
リスクベース認証は、アクセスを許可するか/ステップアップ認証を要求するか/アクセスを拒否するか/特定のアプリケーションへのユーザーのアクセス範囲を制限するかなどを細かく選択できるようにしています。尚この判定は、パスワードやOTPなどの2段階認証のみならず、ユーザーが誰であるか、接続しているネットワークや国、使用しているデバイスなどに基づいて多面的に処理されます。
ADFSに対して多要素認証を追加することも可能
特定のアプリケーションのIdentity Provider (IdP)としてADFSを引き続き使用したいお客様は、オンプレミスの多要素認証インフラストラクチャを追加で構築することなく、強力な認証方法を提供するためにIDaaSの提供する多要素認証を利用することができます。
ドメイン統合の容易さ
IDaaSのID管理機能を使用すると、企業はADフォレストの信頼やファイアウォールのポートを開く必要がなく、ディレクトリを無制限に接続し、レガシーデータをWebに持ち込むことができます。例えば、複数のADドメイン(信頼されているものと信頼されていないものがあります)を持つ環境があるとします。IDaaSでは、ファイアウォールの後ろにADエージェントやAD用のプロキシーを設置することで、GUIであるIDaaSの管理画面から多くの場所にバラけたデータを操作することができます。
アクセスログとレポート
IDaaSのダッシュボードを使用すると、ユーザー、アクセス、アプリケーションのステータスを簡単に表示し、コンプライアンスのためのレポートを手軽に生成することができます。
常に最新の状態で稼働する事が可能
IDaaSはお客様のことを考えて開発された製品で、ダウンタイムゼロで定期的に新しいアップデートを提供しています。エンドユーザーは、中央のアプリケーションポータルを介してプロビジョニングされたアプリケーションにアクセスすることができます。ADFSを介した同様のソリューションは、社内で手動で作成するか、別の会社に外注する必要があり、さらに企業のコストが増加します。
IDaaSはADFSのすべての利点と、完全なSSOソリューションに必要なその他のMicrosoftツールを、単一のクラウドベースのプラットフォームで提供するSoftware as a Service(SaaS)プラットフォームです。
コスト効率
ADFSには、ハードウェアとソフトウェアのインストール、メンテナンス、カスタム統合、仮想マシンのライセンス、Enterprise Mobility + Security(EMS)、Microsoft Identity Manager(MIM)ソフトウェアなど、いくつかのコストが発生します。また、すべてを立ち上げて稼働させるのに時間がかかるため、生産性を何ヶ月も失うという機会費用も発生します。
EMSが無料でバンドルされている場合でも、インストール、メンテナンス、カスタム統合にはコストがかかります。既存のADFSを導入している企業では、高度な機能をサポートするためにMIMやEMSのインストールやライセンス費用を支払う必要があるかもしれません。
IDaaSの最小限のカスタマイズ要件とライセンス管理機能により、企業は総所有コストを最大60%削減することができます。IDaaSのコストは、新しいアプリケーションを導入しても増加することはありません。そのため企業は、インフラストラクチャにクラウドアプリケーションを追加し続けることで、より大きな節約を実感することができます。
IDaaSとADFSの比較早見表
| 比較項目 | IDaaS | ADFS |
|
アプリケーションとの統合 |
|
|
|
高い可用性 |
|
|
|
アクセス制御とユーザー管理 |
|
|
|
可視化性 |
|
なし |
