従業員による Google Cloud へのアクセス管理を簡素化する Workforce Identity 連携のご紹介
Google Cloud Japan Team
※この投稿は米国時間 2022 年 9 月 30 日に、Google Cloud blog に投稿されたものの抄訳です。
Google Cloud は、セキュリティ体制を強化する新しい手段をお客様に提供することに重点を置いています。ID と認可の管理は、組織内のやり取りと組織外のコラボレーションを支えるセキュリティ管理の中核を成しています。オンライン アカウントの急増に伴う詐欺、個人情報の盗難、その他のセキュリティ上の課題に対処するため、多くの組織がユーザーと SaaS アプリケーションの ID の保護と管理をサポートできる、一元的な ID プロバイダ(IdP)製品を採用しています。Google は、これらのソリューションとソリューションが活用されるユースケースに対するサポートを強化したいと考えています。
本日は、Workload Identity 連携のプレビュー版を発表いたします。この新しい Google Cloud Identity and Access Management(IAM)機能を使用することにより、外部の IdP から従業員のユーザー ID を迅速にオンボーディングし、Google Cloud サービスとリソースに直接安全にアクセスできるようになります。Workload Identity 連携は、Google Cloud ID のオンボーディングに現在ほとんどの組織が使用しているディレクトリ同期ではなく、連携を使用しています。Workload Identity 連携は、ローカライズされた顧客管理 IdP を使用することでより適切に対処できる、サードパーティ コラボレーションのユースケースとビジネス要件をサポートする柔軟性を提供します。
既存の ID を連携させることで、複数のプラットフォーム間で異なる ID を管理する必要がなくなります。つまり、Workforce Identity 連携を使用する組織は、既存の ID 管理ソリューションから Google Cloud に従業員のユーザー ID を同期させる必要がなくなります。対応 IdP には、Identity-as-a-Service(IDaaS)のほか、ForgeRock、Microsoft、Okta、JumpCloud、Ping Identity などが提供するディレクトリ プロダクトが含まれます。
Workforce Identity 連携は、見えないセキュリティのビジョンを実現するために Google Cloud がどのように取り組んでいるかを示す一例です。この事例では、不必要なユーザー管理を行うことなく、お客様の現在の Identity and Access Management ソリューションを活用して安全なアクセスを提供しています。
VMware は、Workforce Identity 連携のプレビュー版をご利用いただいているお客様です。VMware のディレクターである Thiru Bhat 氏は、この新機能に期待を寄せる理由を次のように述べています。
VMware は独自の IdP を運用しているため、ID と権限を企業が管理しつつ、開発者が Google Cloud プロジェクトにアクセスできるようにするためのソリューションを必要としていました。当社の IdP の枠外でユーザー ID を同期することは、情報セキュリティのポリシー上許可されていないため、Google Cloud の Workforce Identity 連携をデプロイすることで ID 要件を満たしました。Workforce Identity 連携の機能は、堅牢で構成が簡単なソリューションによって当社のニーズに応えています。
ここでは、いくつかのユースケースと新しい Workforce Identity 連携から得られるメリットについて詳しく見ていきます。
ユースケース: 従業員のログインと認可
きめ細かなアクセス制御によるスムーズな認証を実現
Workforce Identity 連携によって、組織のユーザーは、シングル サインオン用の既存の IdP と変わらないログイン操作で、Google Cloud にアクセスできます。また Workforce Identity 連携は、属性マッピングと属性条件により、きめ細かなアクセス制御にも対応しています。属性(一部の IdP では「クレーム」と呼ばれる)には、ユーザーに関する追加情報が含まれます。
Google Cloud はこれらの属性を使用して、認証の決定に関する詳細情報を入手します。属性マッピングにより、管理者は IdP で定義された ID 属性を Google Cloud が使用できる属性にマッピングすることができます。管理者は Google Cloud に対して属性条件を構成し、条件付きで認証することができます。つまり、属性に基づいた外部 ID のサブセットだけが Google Cloud プロジェクトに認証されます。
たとえば、管理者が会計チームに属する従業員だけにログインを許可したい場合を考えてみましょう。管理者がこれを行うには、まず EmployeeJobFamily などの IdP 属性を構成します。属性マッピングを使用することで、この属性を employee_job_family などの Google Cloud 内の類似した属性にマッピングします。最後に、assertion.employee_job_family=="accounting" という属性の条件を構成することで目的の制御を実現できます。
ユースケース: パートナーやベンダーのための安全なアクセス
独自の IdP と、関連するプライバシー ポリシーおよびデータポリシーを持つパートナーやベンダーによる Google Cloud サービスへの制限された安全なアクセス
今日の企業は、かつてないほどパートナーやベンダーに依存しています。パートナーやベンダーは、企業のワークフロー拡大の助けとなる一方、企業自身のユーザーに加えてパートナーやベンダーの ID をどのように保護するかなど、新たな複雑な問題を IT チームにもたらす可能性もあります。
Workforce Identity 連携を使用すると、企業の IT チームが Google Cloud リソースを使用するために別の ID ストアを同期または作成しなくても、パートナーやベンダーの IdP からユーザーを選択して連携させることができます。
Workforce Identity 連携が役立つ一般的なシナリオの一つに、企業がパートナーやベンダーに依頼して、クラウド リソースを使用したアウトソーシング開発サービスを提供する場合があります(Google Kubernetes Engine(GKE)DevOps サービスをパートナーにアウトソーシングする場合など)。企業は、パートナーやベンダーの管理者用に別の Workforce プールを作成し、その管理者は独自の IdP を使用して従業員にアクセス権を付与します。
また、このユースケースは、データ所在地やデジタル主権に関する取り組みに合わせて、ID 情報をローカルに保存、管理する必要がある組織のサポートにも役立ちます。お客様またはパートナーが管理するローカル IdP を使用し、Google Cloud と ID を連携させることで、組織は ID 情報の管理をさらに強化できます。
ユーザーにはシームレスなエクスペリエンスを、管理者には容易なアクセス管理を提供
Workforce Identity 連携を導入する前は、Google Cloud Identity でユーザー アカウントを作成し、組織の IdP からユーザー ID を複製する必要がありました。Workforce Identity 連携を使用することで、最初に Cloud Identity のユーザー アカウントを作成しなくても、Google Cloud にアクセスできるようになります。また、2 つの異なる ID 管理システムを維持する必要がなくなるため、トイルも軽減されます。
ForgeRock のような ID プロバイダは、Workforce Identity 連携に大きな価値を見出しています。また、Google Cloud と連携することで、お客様の従業員 ID 管理をどのようにサポートできるかも認識しています。ForgeRock の最高製品責任者である Peter Barker 氏は、ForgeRock と Google Cloud のパートナーシップにより、ID 管理は管理者やユーザーにとって、容易で安全なものになると述べています。
「Google Cloud との戦略的パートナーシップは、当社のお客様に大きな価値を提供します。今後も関係の拡大に期待しています。この Google Cloud Workforce Identity 連携との統合によって、ForgeRock のお客様は現在の IAM への投資を有効活用できますし、従業員、請負業者や契約社員、パートナーは、さらに簡単に Google Cloud リソースに安全にアクセスできます。」
Workforce Identity 連携のスタートガイド
Google Cloud をすでにご利用のお客様は、Workforce Identity 連携のプレビュー版をご利用いただけます。Workforce Identity 連携の詳細については、Google のウェブページにアクセスし、こちらの動画をご覧ください。
Workforce Identity 連携がお客様の組織に適しているかどうかを確認するには、アカウント マネージャーにお問い合わせください。また、プロダクト ドキュメントを使用して、これらの新機能の利用を今すぐ開始できます。