連載
» 2017年10月12日 05時00分 公開

AD FSを使ったSaaSとのSSO環境構築(1):SaaS導入で考えるべき2つのこと、「AD FS」で実現するハイブリッドID管理のメリットとは (1/3)

業務で活用が増えている「SaaS」。そのまま使うのではなく、ID管理システムと連携することで、ユーザーの利便性は上がり、システム管理者は運用管理が容易になる。本連載では、AD FSを使ったSaaSとのシングルサインオン環境の構築方法を説明する。

[増田裕正,富士ソフト株式会社]

Windows Server 2016のAD FSを使ったSaaSとのSSO環境構築

 メールやスケジュール、ドキュメント管理などのさまざまなシステムがSaaS(Software as a Service)になり、多くの企業で日常的に利用を始めています。このようなSaaSを利用する場合、ログインのアカウントとパスワードが既存システムと異なっているとユーザーの利便性が下がり、情報システム部門の管理負担も大きくなってしまいます。

 そのため業務でのSaaS導入においては、既存のID管理システムで管理しているアカウントとパスワードによるログイン、つまりシングルサインオン(SSO)とアカウント/パスワードの一元管理ができることが望まれます。さらにセキュリティの観点からは、SaaSへのアクセスを特定の経路のみに限定する、特定のデバイスのみに限定する、といったことも必要となります。

 本連載では、このような問題を解決できる「Windows Server 2016 Active Directoryフェデレーションサービス」(AD FS 2016)の紹介と、代表的なSaaSである「Office 365」とのSSO環境構築手順を説明します。

SaaSに移行するときに考えるべきこととは

 これまで多くの企業では、メールやスケジューラー、ドキュメント管理など、情報共有を目的としたグループウェアを自社のオンプレミス環境に構築し、運用してきました。現在これらのグループウェアは、MicrosoftのOffice 365やGoogleの「G Suite」などのようにクラウド上に構築されているシステム、いわゆるSaaSとしても提供されています。

 SaaSはオンプレミスのシステムと比べて、ハードウェアやソフトウェア、構築作業費用などの初期導入コストと、ハードウェアやOS、ミドルウェアなどの運用保守コストを削減できます。そのため、オンプレミス環境からSaaSへ移行を進める企業は少なくありません。しかし移行において、事前に考慮すべき重要なポイントが2点あります。

  • SaaSと企業内の既存資産、既存システムとの連携
  • SaaSを導入することで起きるセキュリティの問題

SaaSと企業内の既存資産、既存システムとの連携

 SaaSを社内に導入するとき、特に考慮が必要なのは、オンプレミスに構築している「既存のID管理システムとの連携」です。ほとんどのSaaSは、独自のアカウント管理機能を持っています。ID管理システムとSaaSのアカウント管理機能を連携することで、ユーザーはID管理システムに登録されているアカウントとパスワードを使って、SaaSにアクセスできます。またシステム管理者は既存のID管理システムで、アカウントとパスワードを一元管理できるので、業務負荷も軽減できます。

 もし連携しない場合は、SaaSごとに別のアカウントとパスワードを管理することになります。ユーザーは全てのSaaSのアカウントとパスワードを記憶し、SaaSを利用するたびに正しいアカウントとパスワードを入力しなければならず、利便性が著しく下がる懸念があります。また情報システム部門は、SaaSごとに発生するアカウントの作成、更新、削除などの業務に加え、ユーザーからのアカウントやパスワードなどに関する問い合わせにも対応しなければなりません。

SaaSを導入することで起きるセキュリティの問題

 セキュリティの検討も重要です。SaaSはクラウド上で提供されているので、インターネットが利用できれば、いつでもどこでもアクセス可能です。例えばフリーWi-Fiといった安全が保証されていない場所からでも、社内システムにアクセスができてしまいます。しかし、そのようなアクセス方法ではセキュリティに問題があります。

 その問題は、SaaSへのアクセス経路を企業内のセキュリティポリシーに準拠して定義、適用することで解決できます。具体的には、企業は特定の経路からのアクセスのみ、SaaSの認証を許可することで、企業に許可されていない場所からの利用を禁止でき、セキュアな運用を実現できます。

図1 SaaS利用時の問題点
       1|2|3 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。