Partner SA 酒徳です。本日のやってみようシリーズはOneLoginのユーザ管理です。最近SSOのニーズも高くなってきていますので、是非ご一読ください!
ご自身・会社のご紹介
こんにちは、サーバーワークスの宮澤です。第二回となる今回は、OneLoginにサインアップして、ユーザーを管理する方法を紹介したいと思います。
サービス・製品の説明と特徴
- サービス・製品のご紹介
OneLoginはクラウド型のID管理(IDaaS)、シングル・サインオン(SSO)ソリューションです。
シングル・サインオンとは、一度のユーザー認証によって複数のWebサービスの認証これにより、ユーザーはサービスごとにID,パスワードを覚える必要がなくなり、AWSをはじめとする様々なWebサービスへのシングル・サインオンを実現することができます。
- サービス・製品の特徴
OneLoginはクラウド型サービスなので、利用者側で特にサーバーなどを用意する必要なく、気軽にはじめられるサービスです。
アカウントを作成後、OneLoginが用意しているカタログからAWSを始めとしたさまざまなサービスを選択することで、簡単にシングル・サインオン(SSO)の設定をすることが可能です。
また、カタログに載っていない自社サービスなども、カスタムコネクターと呼ばれる機能を利用することで、シングル・サインオン(SSO)の設定が可能です。
もう一つの特徴として、既存のID管理システム(Active Directoryなど)と連携させて既存のIDを引き継いでそのまま利用することも可能です。
設定(構築)する内容
今回は、OneLoginに再アップ後にユーザーを招待する際に必要な以下の3項目の設定内容を紹介します。
- ポリシー設定
- ロール設定
- ユーザー設定
ポリシー設定
1.ポリシーとは
ポリシーとは、ユーザーへの、OneLoginのIDに紐づくセキュリティ設定郡です。
ポリシーを設定して、ユーザーに紐つけることで、ユーザー郡毎にセキュリティ設定を分けることができます。
2.OneLoginへログイン
まず、設定作業を行うためにOneLoginへログインする必要があります。
OneLoginへアクセスし、ユーザー名、パスワードを入力してログインします。
3.ログイン後以下のような画面が表示されるので、“SETTINGS>Policies”に移動します。
4.policy設定画面に移動すると以下の様な画面が表示されます。
新規にポリシーを作成したい場合は”NEW USER POLICY”を押し、既存のポリシーを変更する場合、下部に表示されているポリシーをクリックして編集します。
今回の手順は新規作成で行っています。
5.はじめにポリシー名を左上の部分に入力します。
その後、“Sign In”タブで”OneLogin Password”の部分を設定します。
この設定項目は、ログインパスワードのポリシーとなっており、これを設定することで、パスワードの最低文字数や、複雑さなどを指定することができます。
また、ポリシーを分けることで、管理と一般ユーザーでパスワードポリシーを分けることができます。
6.次に“Session”タブに移動し、セッション関連の設定を行います。
この項目を設定することで、ログイン失敗時の挙動やタイムアウトの設定を行うことができます。
7.“MFA”タブではOneLoginにログインときに、2段階認証を利用するための設定ができます。
2段階認証には、OneLoginのモバイルアプリや、Google Authenticator、Yubikeyなどが利用でき、ユーザーに利用させるものを指定できます。
8.最後に“IP Address”タブの設定を行います。
この部分にIPアドレスを設定することで、指定したIPアドレス以外からのログインを拒否することができます。
特定の拠点以外からアクセスを拒否したい場合などに有効です。
9.ポリシーについてのまとめ
OneLoginのポリシーは様々な項目があり、柔軟なセキュリティ設定が可能になります。
例えば、社内で重要な情報を取り扱うメンバーは、IPアドレス制限をして、営業などのメンバーは、IPアドレス制限を行わず、2段階認証を行うなどして、セキュリティを強くすることで、組織に応じて使いやすいポリシーを適用できます。
ロール設定
1.ロールとは
ロールは、ユーザーに紐づく”利用できるWebサービスの一覧“になります。
例えば、“AWSアカウント”を設定し、ユーザーに割り当てることで、ユーザーにログイン情報を共有することなくAWSへログインさせることができます。
2.早速、ロールの設定を行います。
設定を行うには、“USERS>Roles”に移動します。
3.新規でロールを作成する場合は右上の“NEW ROLE”を押します。
既存のロールを変更する場合は、下部に表示されているロールを押して編集画面に移動します。
4.左上にロール名を入力し、ロールに割り当てるOneLoginコネクタ(サービス名)を選択して設定します。
コネクタの作成する際に、コネクタ側からロールを指定できるので、ロールを作るタイミングでコネクタが登録されている必要はありません。
5.ロールについてまとめ
ロールに対して最適なコネクタを割り当てることで、ユーザーが意図しないサービスへアクセスすることを防ぐことができます。
営業などのメンバーはセールスフォースのコネクタは利用できるが、エンジニアは利用できない、といった権限を設定することができます。
ユーザー設定
1.ユーザー設定とは
ユーザー設定では、組織で実際にOneLoginを利用するユーザーを作成することができます。
2.ユーザー設定を行うには“USERS>All Users”に移動します。
3.ユーザー発行するために必要な情報を入力します。
最低限必要な情報はユーザーの苗字、名前、メールアドレスです。
4.ユーザーのポリシーを設定するために、“Authentication”タブに移動します。
ここで、先ほど作成した、ポリシーをユーザーに割り当てることができます。
5.ユーザーが使えるコネクタを指定するために”Applications”タブに移動します。
こちらで、先ほど指定したロールを指定します。これは、1ユーザーに対して、複数のロールが指定することができます。
ロールの設定が終わったら右上の“SAVE USER”を押して、設定を保存します。
6.ユーザーに招待メールを送付するには、該当ユーザー画面で“MORE ACTIONS>Send Invitation”を押します。
7.招待メールを送るためのポップアップ画面が表示されるので、招待メールの送信先アドレスを入力して、“SEND”を押して送信します。
※デフォルト値はユーザーのEmailアドレスです。
8.ユーザーの“Activity”タブに移動すると、該当ユーザーの証跡を確認できます。
これにより、ユーザーがいつ、どのアプリケーションにアクセスしたかを確認する事ができます。
9.ユーザー設定まとめ
ユーザーの招待を完了することで、実際に組織のユーザーがOneLoginを利用可能になります。
ユーザーを作成する際に、事前に設定したポリシーを正しく割り当てることで、ユーザーの権限を管理者側でコントロールできます。
まとめ
今回の記事では、OneLoginを実際に使うための、権限設定やユーザーの作成手順などを紹介しました。
ロールやポリシーを利用して、アクセス元IPの指定や、2段階認証の設定をすることができるため、クラウド型のシングル・サインオンにおいても、十分なセキュリティレベルを確保することができます。
また、今回の設定内容は、最低限のレベルの内容となっているので、詳細設定(既存のディレクトリと連携など)することで、さらに強固なセキュリティレベルにすることができます。
次回の記事からは、AWSアカウントを例にして、OneLoginのコネクター(アプリケーション)を作成する手順を紹介します。
お問い合わせ先
OneLoginの導入に関するお問い合わせなどがございましたら、以下の連絡先にお気軽にご連絡ください。
株式会社サーバーワークス
TEL : 03-5579-8029(東京) 、06-6396-8710 (大阪)
E-mail: [email protected]
コーポレートサイト: http://www.serverworks.co.jp
AWSアクセラレーションサービス"pieCe": http://piece.serverworks.co.jp/
AWS運用自動化ツール "Cloud Automator" : http://cloudautomator.com
OneLogin: http://www.serverworks.co.jp/services/onelogin
****
OpsJAWS メインページはこちら。
クラウド運用にご興味ある方は、こちらからOpsJAWSに登録ください。