eWEEKラボ検証

「Google Apps」がID管理と相性の良いワケ

2007/06/13

 「Google Apps」は、Webブラウザを搭載したPC以外のハードウェアやソフトウェアを必要としない、シンプルなオンデマンドホスティング製品だ。

 SAML(Security Assertion Markup Language)を利用してGoogle Appsをシングルサインオン(SSO)対応にするためには、組織が利用できるITリソースをかなり費やさなければならない。しかし余分なIT投資が増える代わりに、こうした形態でGoogle Appsを利用すると、ユーザーは組織のシステムにログインする手間を省くことができる。管理者は簡潔なユーザーリストをチェックするだけで済むようになるわけだ。

 SAMLは、セキュリティドメイン間で認証および承認データを交換する際に使う、XMLセキュリティ標準だ。Google Appsは、Sxip IdentityやSSOCircleといったベンダーとのパートナーシップを介し、SAMLベースの認証および承認アドオンをオプションとして提供している。

 eWEEKテストラボが行った今回の実験では、Sxip Identityのソフトウェアを用いて、eWEEKのGoogle Appsオンデマンドコラボレーションスイートへのアクセスを既存の「Microsoft Active Directory」インフラストラクチャに組み込み、個別の認証システムを運用しなくてもよいようにした。

 Google Appsの管理用コンソールで、eWEEKのシステムやGoogle Appsにサインインしたり、そこからサインアウトするためのサインイン/サインアウトURLを生成し、SSOを有効化した。また、パスワード変更URL を生成してユーザーがパスワードを変えられるようにし、グーグルの公開鍵を含む証明書を参照することでサインインリクエストを検証できるようにした。

 今回の実験では、Sxip Identityソフトウェアが作成した仮想マシン(VM)を動作させるために、VWwareの「VMware Player」を使用した。ユーザーがGoogle Appsのホスティングサービスにログインすると、グーグルはSAMLリクエストを発行し、eWEEKがID提供者として設定したSSOサインインURLへとブラウザリダイレクトする。

 本テストにおけるID提供者は、eWEEKがLDAPを用いてActive Directoryインスタンスに統合した、Sxip Identity VMだ。

 Sxip Identity VMはSAMLリクエストを処理し、問題がなければユーザーを認証して、SAMLレスポンスを返した。このレスポンスがグーグルの「Assertion Consumer Service」によって確認されたあと、ユーザーはGoogle Appsにログインできるようになった。

 Google AppsのようなオンデマンドサービスをSxip IdentityなどのID管理システムを併用すると、数多くのメリットが得られる。実験では、既存の社内ディレクトリを利用してユーザー認証を行ったのだが、Google Appsの管理用コンソールを唯一の認証ゲートキーパーとして使った場合よりも、Google Appsを誰が利用していて、誰が利用していないのかを正確に特定できた。ユーザー権限を拡張したり、制限したりする際にGoogle Appsをいちいちチェックしなくて良くなるという点は、非常に大きな魅力だと感じられた。

 グーグルはユーザー管理にSAML標準を使用しているので、IT管理者はそうしたサービスを提供している複数のベンダーの中から、任意のものを選ぶことができる。エール大学が開発した「Central Authentication Service」なども、オープンソースのSAMLベースIDプロバイダの一種だ。大学が主導している同様のプロジェクトはほかにも多数存在しており、大半が活発なユーザーコミュニティーを持っている。

 これらのIDプロバイダのうちのいずれかを使用する場合、グーグルはサービスを提供するサービスプロバイダとして振る舞う。今回の実験に使った「eweekdemo.com」のトップページも、そうしたサービスの1つである。SAMLを利用することで、Google Appsの管理者はホスティング型もしくは独自のIDプロバイダの役割を担い、保護されたコンテンツにアクセスしようとするユーザーを認証することもできる。

原文へのリンク

(eWEEK Cameron Sturdevant)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)