F : 既存のID管理基盤で多量のID登録・更新・削除を迅速正確に処理し、クラウドの業務ツールをどんどん導入したいイケイケ企業タイプ
想定されるID管理の課題
- 既存ID管理基盤とクラウドサービスのID連携が必要
- ID管理基盤で管理する業務システムのSSOとプロビジョニングの実現方式
- クラウドサービス追加時のコストを踏まえた連携方式の考慮
- 管理されていないクラウドサービス(野良クラウド)の利用への対応
提言
- 既存ID管理基盤が対応できるID連携方式を調査しよう!!
- クラウドで採用される OpenID Connect と SCIM の利用を検討しよう!!
- クラウドID管理基盤 (IDaaS) によるID連携・プロビジョニングの容易さと、ランニングコストの現実を判断材料に!!
- オンプレミスID管理基盤とクラウドID管理基盤で、コスト面、運用面、サポート面、追加採用の容易さなどを比較してみよう!!
F タイプの企業の ID 管理状況
Fタイプにたどり着く場合、「クラウドサービスをすぐに使いたい」という点で、目的が明確です。 一方で次のような懸念点もあるでしょう。
- 既存のID管理基盤とどう両立できるのか
- IDのライフサイクルは煩雑ではないか
- どれくらいのコストがかかるのか
そこで次のような順番で手をつけていくことが考えられます。
- 使いたいクラウドサービスはどんなID連携方式に対応しているのか調査しよう
- 既存のID管理基盤が対応できる/させるID連携方式を調査しよう
- オンプレとIDaaSのID管理基盤のランニングコストを見極めよう
クラウドサービスの現状・対応
現在、様々な業務系クラウドサービスが存在しますが、利用したいサービスがどのような認証方式をとっているか調べないことには始まりません。
多くのサービスはID連携の標準仕様である SAML、あるいは OpenID Connect に対応していますので、それらへの対応がまず第一になるかと考えられます。 プロビジョニングに関しては、残念ながら各社独自で対応していることが多く、それぞれの対応となることが考えれます。
ただし、標準仕様という点では、SCIM という仕様が策定されています。そのため、今後に SCIM に対応するサービスが増えることも考えられます。
本ページで記載の各仕様に関しては以下で詳しく説明しています。
- OpenID ConnectとSCIMのエンタープライズ実装ガイドライン
- 2.1. フェデレーション向けプロトコル OpenID Connect
- 2.2. プロビジョニング向けプロトコル SCIM
- 3.1. 利用企業の認証システムとクラウドサービスの連携モデル
既存のID管理基盤とクラウドサービスとの連携
Fタイプにたどり着いている場合、貴社の既存のID管理基盤はオンプレミスで構築されていることが想定されます。 既存のID管理基盤と、クラウドサービスとの連携を組み合わせる場合、次のようになるでしょう。
図1: 既存のID管理基盤とクラウドサービスの連携
既存のID管理基盤に外部用のSSOサーバを用意し、そこから各クラウドサービスに対してSSOやプロビジョニングを実施する形が考えられます。 認証方式としては、OpenID ConnectやSAMLが多いため、比較的対応は容易でしょう。 一方で、プロビジョニングという観点で見ると、各社それぞれのサービスに対応した形での投資が必要になります。
ID管理基盤をIDaaSに
どんどん新しいクラウドサービスを使っていきたいという貴社では、新たなサービスを連携するために対応コストが増加する可能性もあります。 その為、場合によっては、ID基盤自体をクラウド上に移行することも考えられます。
クラウドID基盤サービス (IDaaS) の中には、クラウドサービスに対して容易にプロビジョニングできる仕組みを持つものもあるため、比較的容易にクラウドサービス間の連携が可能でしょう。
以下にIDaaS (Azure Active Directory) を利用した場合のID管理基盤の例を記載します。
図2: IDaaSを利用したID管理基盤の実現
IDaaSはクラウドサービスとの連携を前提としているため、連携の親和性が高い一方で、ユーザごとのライセンスであることが多いため、自社でのオンプレID管理基盤と比較してライセンス費(ランニングコスト)の分高くなる傾向があります。
自社のID管理基盤をクラウドサービスと連携させるのか、ID管理基盤をクラウド上に移行するかを検討する際には上記に注意して検討する必要があります。