俺です。
只今社内のIdP整えてます。
現在アカウント管理はすだちの人に教えてもらった
JumpCloudで運用しています。
弊社ではMac/Winが半々ですが、以下の内容を統一し、オペレーションをJumpCloudでカバーしています。
- 社員PCのログインIDとパスワード, sudoの許可
- サーバへのログイン許可, 公開鍵
- スクリーンロック(180秒)
- G Suiteへのシングルサインオン
- PCログイン時にMFA認証
今のところADでガッチガチにするパワーはないけど、ユーザーとPCの管理をカジュアルにSaaSでまかないたいってフェーズには非常に便利かなと考えてます。
さらに10人まで無料という起業直後の俺には最高に嬉しいネ申SaaSです.Kami as a Service
11人目以降は$7.50/monthですが、まあ提供されてる機能を実際使ってみるとどーかんがえても安いよねと感じるでしょう!
早く人増やしてJumpCloudに課金して利用貢献したいのでお前の会社is気になるって思った方はとりあえずinfo@andgate.co.jpにメール下さいmm職種はなんでもいいのでめしいきましょうww
さて、
何ができるのか
- ユーザー登録, システム(PC)ごとにsudo許可, 公開鍵登録, MFAデバイス認証の有効/無効
- ユーザーのグルーピング
- JumpCloudAgentをインストールし、PCへのログイン制御が可能
- PCのグルーピング
- 簡易ポリシー設定.スクリーンロック, USBデバイスのブロック
- G Suiteやo365にJumpCloudユーザーのパスワードを同期
- 登録済みのシステムへシェルコマンドを発行
カジュアルに痒いところに手が届きます。
ユーザー管理画面
システム管理画面
ログイン可能なユーザー
ポリシー設定
ポリシー
グループ
Applications
SSOも設定できるよ。ただSaaSのSAML対応プランはEnterpriseがほとんどでつらい。
https://jumpcloud.com/daas-product/sso-single-sign-on
Directories
ディレクトリサービス連携ができるよ
ActiveDirectoryの情報を、JumpCloudへsyncしたり、G SuiteアカウントのユーザーID/パスワードをJumpCloudユーザーID/パスワードと同期できる
Commands
JumpCloudに登録しているシステムへシェルコマンドを発行することができます。
対応OSはWindows/Linux/Macです。地味に便利
利用例
入社
- PC購入
- PCにJumpCloud Agentをインストール
- G Suiteに社員アカウント登録してパスワード(A)設定
- JumpCloudに社員アカウント登録
- JumpCloud側で社員アカウントのパスワード(B)設定
- 使ってもらう。
このとき、社員はパスワード(B)を知っておけばPCログインとG Suiteの利用が可能です。
退社
- JumpCloudより社員のアカウントを停止
- ログイン可能なシステムからアカウントを解除
- G Suiteアカウント停止
- JumpCloudのユーザー削除
社員はパスワード(B)しかしらないので、退社手続き後からアカウント削除までの間に、
個人所有の端末からG Suiteへアクセスして情報を見ようとしてもパスワード(A)を知らないので多分見れません(要検証)
※G Suite SyncしてたらJumpCloudとG Suiteのパスワードが同じものになるのでダメですよ
今度はo365とのSAMLとADサーバ立ててJumpCloudでアカウント持たず、マスタはADに持たせた連携ができるかやってみようかなーー
おわり