業務で活用が増えている「SaaS」。そのまま使うのではなく、ID管理システムと連携することで、ユーザーの利便性は上がり、システム管理者は運用管理が容易になる。本連載では、AD FSを使ったSaaSとのシングルサインオン環境の構築方法を説明する。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
メールやスケジュール、ドキュメント管理などのさまざまなシステムがSaaS(Software as a Service)になり、多くの企業で日常的に利用を始めています。このようなSaaSを利用する場合、ログインのアカウントとパスワードが既存システムと異なっているとユーザーの利便性が下がり、情報システム部門の管理負担も大きくなってしまいます。
そのため業務でのSaaS導入においては、既存のID管理システムで管理しているアカウントとパスワードによるログイン、つまりシングルサインオン(SSO)とアカウント/パスワードの一元管理ができることが望まれます。さらにセキュリティの観点からは、SaaSへのアクセスを特定の経路のみに限定する、特定のデバイスのみに限定する、といったことも必要となります。
本連載では、このような問題を解決できる「Windows Server 2016 Active Directoryフェデレーションサービス」(AD FS 2016)の紹介と、代表的なSaaSである「Office 365」とのSSO環境構築手順を説明します。
これまで多くの企業では、メールやスケジューラー、ドキュメント管理など、情報共有を目的としたグループウェアを自社のオンプレミス環境に構築し、運用してきました。現在これらのグループウェアは、MicrosoftのOffice 365やGoogleの「G Suite」などのようにクラウド上に構築されているシステム、いわゆるSaaSとしても提供されています。
SaaSはオンプレミスのシステムと比べて、ハードウェアやソフトウェア、構築作業費用などの初期導入コストと、ハードウェアやOS、ミドルウェアなどの運用保守コストを削減できます。そのため、オンプレミス環境からSaaSへ移行を進める企業は少なくありません。しかし移行において、事前に考慮すべき重要なポイントが2点あります。
SaaSを社内に導入するとき、特に考慮が必要なのは、オンプレミスに構築している「既存のID管理システムとの連携」です。ほとんどのSaaSは、独自のアカウント管理機能を持っています。ID管理システムとSaaSのアカウント管理機能を連携することで、ユーザーはID管理システムに登録されているアカウントとパスワードを使って、SaaSにアクセスできます。またシステム管理者は既存のID管理システムで、アカウントとパスワードを一元管理できるので、業務負荷も軽減できます。
もし連携しない場合は、SaaSごとに別のアカウントとパスワードを管理することになります。ユーザーは全てのSaaSのアカウントとパスワードを記憶し、SaaSを利用するたびに正しいアカウントとパスワードを入力しなければならず、利便性が著しく下がる懸念があります。また情報システム部門は、SaaSごとに発生するアカウントの作成、更新、削除などの業務に加え、ユーザーからのアカウントやパスワードなどに関する問い合わせにも対応しなければなりません。
セキュリティの検討も重要です。SaaSはクラウド上で提供されているので、インターネットが利用できれば、いつでもどこでもアクセス可能です。例えばフリーWi-Fiといった安全が保証されていない場所からでも、社内システムにアクセスができてしまいます。しかし、そのようなアクセス方法ではセキュリティに問題があります。
その問題は、SaaSへのアクセス経路を企業内のセキュリティポリシーに準拠して定義、適用することで解決できます。具体的には、企業は特定の経路からのアクセスのみ、SaaSの認証を許可することで、企業に許可されていない場所からの利用を禁止でき、セキュアな運用を実現できます。
Copyright © ITmedia, Inc. All Rights Reserved.