クラウドアプリで SSO を有効にする

ビジネス上の問題

クラウドアプリを利用するエンタープライズ企業が急激に増えています。シングル サインオン(SSO)をクラウドアプリに拡張することで、従業員は会社の認証情報を使用して、Software as a Service(SaaS)アプリやクラウドにホストされている社内アプリにログインできます。

SSO では、ID プロバイダ(IdP)を介して 1 か所で認証を行うことができます。ユーザーはサードパーティのクラウドアプリにアクセスできますが、その認証情報はサードパーティ側に保存されません。多くの場合、サードパーティ アプリの認証情報は存在しません。

企業は、ユーザーの利便性の向上だけでなくセキュリティの強化も目的として SSO を導入します。IdP は、会社のすべてのクラウドアプリへのアクセスを認証する必要があります。

ソリューション

選択したクラウドアプリに SSO でアクセスできるようにするため、Cloud Identity は IdP として OpenID Connect(OIDC)と Security Assertion Markup Language(SAML)2.0 プロトコルをサポートしています。

Cloud Identity には、SAML アプリの大規模なカタログがあります。G Suite ユーザーは、G Suite Marketplace で OIDC アプリを入手できます。ほとんどのクラウドアプリは、このプロトコルのいずれかをサポートしていますが、両方サポートしているアプリは少数です。

SAML カタログアプリ

メリット

  • SAML は企業内で確立されています。
  • アプリをインストールできるのは管理者だけです。従業員が利用できるアプリは管理者が制御します。
  • サードパーティの SaaS プロバイダと Google が共同でコネクタを開発し、Google がカタログ内のアプリを検証しています。
  • インストールは簡単で、すぐに終わります。

デメリット

  • SAML アプリの設定は、OIDC アプリの設定よりも少し複雑です。
  • すべてのエンタープライズ アプリが SAML をサポートしているわけではありません。SAML の機能を利用すると、使用料金が増える場合があります。

OIDC G Suite Marketplace アプリ

メリット

  • OIDC は、SAML よりも軽量で新しいプロトコルです。
  • 管理者とユーザーはアプリをインストールできますが、ユーザーがインストールできるのは、管理者がホワイトリストに登録したアプリだけです。
  • G Suite Marketplace アプリは G Suite の機能を拡張します。このアプリは Core Google Services API を使用しているため、Google のプロダクトと完全に統合されています。このアプリは、G Suite Marketplace の要件を満たしていることが確認されています。

デメリット

  • OIDC は、エンタープライズ アプリとしてまだ普及していません。

推奨

SAML と G Suite Marketplace のカタログを利用します。一部のアプリは両方のカタログに表示されます。G Suite を利用し、会社の IT ポリシーが OIDC をサポートしている場合は、G Suite Marketplace アプリをおすすめします。

目的のアプリがどちらのカタログにもない場合、そのアプリが SAML をサポートしているなら、カスタム SAML アプリとしてインストールできます。なお、カスタム SAML アプリはインストールする組織用に構成されるため、一般的な SAML カタログからは利用できません。

会社の各組織で必要なアプリをインストールし、それを必要としている組織にのみ割り当てます。

サードパーティの ID プロバイダ

サードパーティの ID プロバイダ(IdP)を利用している場合でも、Cloud Identity カタログに登録されているサードパーティ アプリに SSO を構成できます。サードパーティの IdP でユーザー認証を行い、Cloud Identity でクラウドアプリを管理できます。

SSO で Cloud Identity を使用するには、ユーザーに Cloud Identity アカウントが必要です。ログインは、サードパーティの IdP 経由で行うか、Cloud Identity アカウントのパスワードを使用して行います。

A 社の従業員は、日々の仕事で業務アプリだけでなく、クラウドアプリも使用しています。たとえば、次のようなアプリを使用しています。

  • 共同作業ツール
  • メッセージングとコミュニケーション
  • 会議
  • 顧客関係管理(CRM)
  • 人事(HR)
  • カスタマー サポート

A 社は、自社でホストしたオンプレミスの IdP を使用していましたが、セキュリティの強化、サポートコストの削減、スケーラビリティの向上を実現するため、プライマリ IdP を Cloud Identity に変更したいと考えています。また、従業員は利便性に優れたワンセットのサインオン認証情報を使ってすべてのクラウドアプリにアクセスしたいと考えています。このため、SAML と OIDC を使用して、すべてのクラウドアプリを Google ID で認証することにしました。

IT 部門は、SSO を使用できるようにクラウドアプリに次の設定を行いました。

  • 従業員が使用するクラウドアプリのリストを作成する。
  • これらのアプリを G Suite Marketplace または SAML カタログで検索する。
  • 各アプリで SSO を有効にする。
  • 特定の組織に適切なアプリを割り当てる。例:
    • 組織全体にメッセージング、人事、コラボレーションのアプリを割り当てる(誰もが入手できるように)
    • 営業部門に CRM を割り当てる
    • サポート部門にカスタマー サポート アプリを割り当てる

セキュリティ キーの適用範囲は部門によって異なります。

現在、従業員は Cloud Identity にログインしています。Cloud Identity の認証情報で SSO を行うことで、必要なクラウドアプリにアクセスできます。

SSO でクラウドアプリにログインします。