クラウドアプリのユーザー プロビジョニングを自動化する

ビジネス上の問題

大規模な企業では、日々の業務で利用されるクラウドアプリが増え続けています。それぞれのクラウドアプリにユーザーの権限が定義されたリストがあるため、入退社によってユーザーの追加と削除があるたびに、該当するすべてのアプリでプロビジョニング、またはプロビジョニング解除を行う必要があります。

これは、それぞれのクラウドアプリに関連付けられている各ユーザーの ID とパスワードが、IT 部門により管理されていることを意味します。プロビジョニングを自動化すれば、どの社員も入社後すぐに必要なツールを利用できるようになりますが、社員が退職したときは、すべてのクラウドアプリでそのユーザーのプロビジョニングを解除し、セキュリティ リスクを回避しなければなりません。

社員が使用する個々のサードパーティ製クラウドアプリのユーザー管理に伴う管理オーバーヘッドを削減する必要があります。目標は、ユーザー プロビジョニングを自動化して、ユーザー プロファイル情報を 1 か所で作成、更新、削除し、すべてのクラウドアプリにそれを反映させることです。

ソリューション

プロビジョニングを自動化する手段として、Cloud Identity とサードパーティのツールがあります。

Cloud Identity によるプロビジョニングの自動化

Cloud Identity には自動プロビジョニング コネクタのカタログがあり、これは、Cloud Identity とサードパーティのクラウドアプリを結ぶブリッジとして機能します。

シングル サインオン(SSO)の SAML をセットアップすると、ユーザーの自動プロビジョニングを設定して、クラウドアプリ全体のユーザー ID の作成、変更、削除を行えるようになります。Cloud Identity を利用すると、管理者は Cloud Identity ユーザーのサブセットを 1 つ以上のサポート対象アプリと同期できます。

メリット

  • ユーザー プロファイルの作成、更新、削除、停止を行い、ユーザーのライフサイクル全体を管理できます。
  • 組織で使用するアプリの追加と削除を一元的に制御し、アプリのライフサイクル全体を管理できます。
  • 統合レポート、監査ログ、詳細なイベント トラッキングなど、サポート対象のすべてのアプリで一貫性のあるユーザー エクスペリエンスを提供できます。

サードパーティのジャストインタイム プロビジョニング

SAML をサポートする多くのアプリは、ジャストインタイム(JIT)プロビジョニングによって自動的にプロビジョニングすることが可能です。一部のサービス プロバイダは、ユーザーがアプリにアクセスしたとき、すでにアカウントを持っているかを確認するように SAML アプリを設定しています。アカウントを持っていない場合は、新しいアカウントが作成されます。

メリット

  • SAML アプリの設定のみが必要となるため、構成が小さくなります。
  • Cloud Identity に自動プロビジョニング コネクタがないアプリでも、ユーザーのニーズに応えてサービス プロバイダが JIT プロビジョニングをサポートする可能性があります。

デメリット

  • ユーザーのプロビジョニング解除がサポートされていないため、退職するユーザーが持つアプリのライセンスは手動で削除する必要があります。
  • JIT プロビジョニングをサポートしていないクラウドアプリもあります。
  • 一貫性のある Cloud Identity 自動プロビジョニング コネクタに比べると、サードパーティのコネクタは、動作や、レポートとログの内容がコネクタによって異なることが考えられます。

推奨事項

Cloud Identity SAML カタログで自動プロビジョニングがサポートされているアプリの場合は、Cloud Identity 自動プロビジョニング コネクタの使用をおすすめします。

必要な自動プロビジョニング コネクタがカタログにない場合は、サービス プロバイダと協力してコネクタを開発してください。サービス プロバイダが JIT をサポートしている場合は、それも選択肢になりますが、通常、JIT はユーザー プロファイルの作成のみを処理し、プロファイルの更新、停止、削除は行いません。

サードパーティの ID プロバイダ

サードパーティの ID プロバイダ(IdP)を利用している場合でも、Cloud Identity カタログに登録されているサードパーティ アプリにユーザーの自動プロビジョニングを構成できます。この場合、ユーザー認証はサードパーティの IdP で行われ、Cloud Identity はクラウドアプリを管理します。

自動プロビジョニングに Cloud Identity を使用するには、ユーザーに Cloud Identity アカウントが必要です。ログインは、サードパーティの IdP 経由で行うか、Cloud Identity アカウントのパスワードを使用して行います。

A 社では、プライマリ IdP として Cloud Identity を使用し、顧客リソース管理(CRM)、メッセージング、顧客チケット管理に Software as a Service(SaaS)プロダクトを利用しています。この会社は、信頼できる唯一のデータソース(IdP)として Cloud Identity を使用して、クラウドアプリのユーザー プロビジョニングとプロビジョニング解除を自動化したいと考えています。

A 社では、サポート部門に配属された従業員には配属日に顧客チケット管理アプリのライセンスが自動的に付与されます。営業部門に配属された従業員には配属日に CRM アプリのライセンスが付与されます。また、メッセージング アプリが全員に配布されます。

A 社の IT 部門は、顧客部門の適切なメンバーだけが特定のサードパーティ アプリケーションにアクセスできるようにしたいと考えています。このため、特定のユーザーに割り当てたサードパーティ アプリと Cloud Identity に登録されたユーザー プロファイルが同期されるようにしました。

ユーザーがアプリへのアクセス権を失う(退職によりアプリにアクセスする必要がなくなる)と、リンクされていたサードパーティ アプリケーションからプロファイルが削除され、ライセンス違反が回避されます。

IT 部門は、自動プロビジョニングを行うため、次のような設定をクラウドアプリに行いました。

  • 従業員が使用しているクラウドアプリをリストアップする。
  • これらのアプリを Cloud Identity SAML とユーザーの自動プロビジョニング カタログで検索する。
  • アプリに SSO が設定されていない場合は、これらのアプリで SSO を有効にする。
  • アプリでユーザーの自動プロビジョニングを構成する。

自動プロビジョニングのフロー

佐藤さんが A 社に入社しました。最初の出社日までに、管理者は佐藤さんのアカウントを作成し、Cloud Identity に追加します。また、組織にも佐藤さんを追加します。佐藤さんは組織に割り当てられたクラウドアプリにアクセスできるようになります。

Cloud Identity が佐藤さんの ID をすべてのクラウドアプリに複製します。

SSO でクラウドアプリにログインします。

最初の出社日、佐藤さんが Cloud Identity にログインします。Cloud Identity の認証情報で SSO を行うことで、必要なクラウドアプリにアクセスできるようになります。

SSO でクラウドアプリにログインします。