Google Cloud の ID およびアクセス管理に役立つ Workforce Identity 連携の新機能

※この投稿は米国時間 2023 年 8 月 10 日に、Google Cloud blog に投稿されたものの抄訳です。

このたび Workforce Identity 連携に、新しいセキュリティ機能、管理オプション、プロダクト インテグレーションが追加されましたのでお知らせいたします。Workforce Identity 連携は、外部の ID プロバイダ（IdP）からユーザー ID をすばやくオンボードして、Google Cloud のサービスやリソースに直接かつ安全にアクセスできる、Google の Identity and Access Management プロダクトです。

Workforce Identity 連携は、ディレクトリ同期ではなく ID 連携のアプローチに基づいており、既存の ID システムを利用することで ID ライフサイクルの管理を簡素化できるのが特徴です。

Goldman Sachs は Workforce Identity 連携を使って、従業員が BigQuery にアクセスできるようにしています。Goldman Sachs のマネージング ディレクター兼テクノロジー フェローである Ming Ng 氏は、Workforce Identity 連携を使い始めた理由を以下のように説明しています。

「当社は、Google Cloud 環境に従業員が柔軟にアクセスできるように Workforce Identity 連携を使用しています。Workforce Identity を使い始める前は、BigQuery 内のデータ ウェアハウスへのユーザーレベルのアクセス権を付与するには、当社のユーザー ディレクトリを Google Cloud と同期して、ユーザーが Google Cloud にログインできるようにする必要がありました。Workforce Identity 連携のおかげで、従業員を Google Cloud にオンボーディングしなくても、既存の ID プロバイダを使用して BigQuery へのアクセス権をユーザーごとにきめ細かく与えられます。これにより、管理オーバーヘッドの大幅な削減につなりました。」

Workforce Identity 連携の新機能は以下のとおりです。

新しいセキュリティおよび管理機能

• OpenID Connect（OIDC）プロバイダの認可コードフローと暗黙的フローをサポートするようになりました。認可コードフローとは、ユーザー認証後、IdP から Google Cloud への独立した安全なバックエンド トランザクションを通じて IdP から直接トークンを返す仕組みであり、より安全性が高いと考えられています。その結果、コードフロー トランザクションは、属性マッピングや属性条件に使用するクレームを増やすことができます。詳しくはドキュメントをご覧ください。

• SAML ベースの ID プロバイダを使用している場合、SAML トークン暗号化を使って SAML アサーションを暗号化できます。具体的には、Workforce Identity 連携を構成すると、IdP に格納された証明書から取得した公開鍵を使って、SAML アサーションを暗号化できます。SAML アサーションの暗号化により、ユーザーの機密情報が保護され、Workforce Identity 連携にセキュリティ レイヤが追加されます。SAML 2.0 IdP で暗号化された SAML アサーションが Workforce Identity 連携で受け入れられるようにする方法について詳しくは、ドキュメントをご覧ください。

• Google Cloud のサービスやリソースに対して、これまでの Google Cloud コンソールからのアクセスに加えて、API や CLI を使ってプログラマティックにアクセスできるようになりました。gcloud CLI によるブラウザベースのログインが追加されたことで、ログインの構成ファイルをあらかじめ作成して gcloud auth login を呼び出す際にそのファイルを参照するか、またはそのファイルをデフォルトで使用するように有効化できます。使用を開始するのに役立つ、構成手順の詳細に関するドキュメントをご覧ください。

Workforce Identity 連携に対応するプロダクトの拡充

Google Cloud では、Workforce Identity 連携をサポートする Google Cloud プロダクトの拡充に継続的に取り組んでいます。最近の変更点は以下のとおりです。

• Google Kubernetes Engine（GKE）のお客様は、OIDC または SAML 2.0 に対応する外部 ID プロバイダの ID を使って GKE 環境を管理できるようになりました。

• Chronicle が、サービス プロバイダを起点とする SAML SSO に対応しました。これにより、ユーザーは直接 Chronicle に移動できます。Chronicle は Workforce Identity 連携を通じて、サードパーティの IdP に対してリクエストを発行します。

• Cloud Storage で、Workforce Identity 連携を通じてサードパーティの IdP を使用し、GCS の主な公開 API やコンソール操作へのアクセス認証を受けられるようになりました。

• Cloud Billing で、Workforce Identity 連携を使って主なお支払い情報にアクセスできるようになりました。連携コンソールから、費用の概要ページ、費用管理、費用最適化、アカウント管理などの情報にアクセスできます。

Workforce Identity 連携をサポートする Google Cloud サービスの最新リストについては、ドキュメントをご覧ください。

Google Cloud Next ‘23 にて、Goldman Sachs が「How Goldman Sachs achieved identity-first security using Google Cloud（Goldman Sachs が Google Cloud を使って ID ファーストのセキュリティを達成した方法）」と題して、Workforce Identity 連携の使用に関するプレゼンテーションを行う予定です。これまでに同社が Workforce Identity 連携によって達成してきた内容について聞くチャンスですので、どうぞお見逃しなく。

Workforce Identity 連携の詳細および使用方法については、Google Cloud のウェブページおよびこちらの動画をご覧ください。