[2021年版] IDaaS製品 トラスト・ログインを基礎から解説

以前 IDaaS製品比較に関する内容を作成しましたが、現在利用しているトラスト・ログインに絞って記事を書いてみました。

##トラスト・ログインとは

トラスト・ログインは、GMOインターネットグループ内でクライアント証明書の認証局業務を行っている**「GMOグローバルサイン株式会社」が提供するIDaaS (Identity as a Service)** です。以前は「SKUID」というサービス名でしたが、2019年に「トラスト・ログイン」に変更されています。

ちなみにIDaaSとは、「SaaSなどにログインするために必要なIDとパスワード（またはこれに変わる認証情報）をまとめてストックしておき、必要になったタイミングでSaaSにワンクリックでログイン（シングルサインオン）できるサービス」です。

ちなみにGMOグローバルサインという企業は、もとはベルギーで1996年に創業された「GlobalSign」という認証局にルーツがあります。2007年に、GlobalSignはGMOインターネットグループに買収され、現在ではGMOインターネットグループのグローバル企業として営業を行っています。日本市場では特に強く、電子証明書発行の最大手です。

ちなみに日本国内における「GMOグローバルサイン」は、「GMOグローバルサイン・ホールディングス株式会社（旧GMOクラウド、2020年社名変更）」という東証一部上場企業の傘下企業という位置づけです。

##トラスト・ログインの特徴

トラスト・ログインは「無料プラン」「1機能ごとに購入」「PRO（全機能）」の3種類のプランが提供されています。

出典: https://trustlogin.com/price/
機能の詳細はこちらをご覧ください。

細かな解説に入る前に、トラスト・ログインの特徴を3つあげます。

###1.無料プランが充実している

多くの競合製品では、無料プランはすでに廃止されており、「期間限定の無料トライアル」しかありませんが、トラスト・ログインは無料プランだけでも結構使えます。

• 期間の制限なくずっと無料で利用できる
• SAML、フォームベース認証、ベーシック認証が利用可能
• シングルサインオンできるアプリ数に制限がない

このため、「有料プランで提供されている機能が不要」「ログ保存期間が1年以下で問題ない」「電話サポート不要」の場合は、無料プランでずっと使い続けられます（アプリ数の上限なしが大きい）。

そして、有料機能が必要になったタイミングで「1機能のみ追加」または「PRO（全機能）」への移行を検討すればよい、という仕組みです。

###2.コストパフォーマンスがよい（安価で機能が絞り込まれている）

トラスト・ログインの有料プランは、競合製品と比べると安いです。「1機能ごと購入」の場合は、1機能あたり1ユーザー110円/月で、全機能が使える「PRO」の場合でも1ユーザー330円/月です。

ちなみに、「1機能ごと購入」と「PRO」のどちらを購入すればよいか、です。下記の内容を1つでも満たす場合は「PRO」を購入、全て満たさない場合は「1機能ごと購入」をおすすめします。

• 有料機能を3つ以上利用
• PROでのみ提供されている機能を利用
• ログは1年超必要（最大5年）
• 電話サポート必要

なお、海外のIDaaS製品である「Okta」などと比べると、トラスト・ログインの機能は多くありません。

Oktaは、例えば「多要素認証」だと「SMS」「音声認証」「Eメール認証」などが利用可能ですが、トラスト・ログインにはありません。シングルサインオンでも、Oktaのほうが機能が豊富です。

ただ、Oktaの場合は「シングルサインオン」「多要素認証」など、モジュールごとに機能を購入していくと、トラスト・ログインの数倍のコストになります。よって、「高額でも、とにかく豊富な機能を利用したい」のか、「安価で、絞り込まれた機能で十分」なのかを、機能一覧表を見ながら検討するのがよいでしょう。

###3.分かりやすいUI

トラスト・ログインは、特にユーザーが利用するUIが優れています。パソコンからシングルサインオンを行う場合、「ブラウザのアドオンから利用する場合」と「trustlogin.com上のポータルから利用する場合」がありますが、いずれも、アプリアイコンが一覧で表示され、それをクリックすればシングルサインオンできます。

複雑な画面表示や画面遷移がなく、スマホやタブレットを操作するのと同じ感覚でシングルサインオンできるため、技術的な知識がないユーザーでも容易に利用できます。

画面の配色は、グレーをベースで、ロゴは赤、ボタンなどは緑が用いられていますが、ミニマルデザインが徹底されており、分かりやすく、美しいです。画面については後半で紹介します。

##トラスト・ログインの機能解説

###(1)認証方式

トラスト・ログインで提供されているアプリの認証方式は、「SAML認証」「フォーム認証」「ベーシック認証」の3つです。ここで確認しておきたい点は2つです。

1つめは、「自社で利用するアプリのSAML版が提供されているか」という点です。トラスト・ログインの対応アプリページで、SAML対応アプリ一覧を確認できます。

2つめは、「使いたいアプリがSAML対応しておらず、フォームベース認証のみの場合、利用するか」という点です。これは、そもそもIDaaS製品を導入する理由や、許容できるリスクとも関わってきますので、対応アプリページで確認した上で決定するとよいでしょう。

###(2)ID連携（プロビジョニング）

トラスト・ログインでは、以下のID連携に対応しています。

• 外部→トラスト・ログイン
• Active Directory
• 外部IDP (SCIM)
• Open LDAP (開発中)
• トラスト・ログイン→外部
• Microsoft 365 (Office 365)
• Google Workspace (G Suite)
• Slack (SAMLジャストインタイム）
• Zoom (SAMLジャストインタイム)
• GMOサイン (SAMLジャストインタイム)

中でも、Active Directory連携、Microsoft 365連携、G Suite連携はニーズが高い点です。例えば、Active Directory連携を利用すると、「Active Directory上のユーザー情報をマスターにして、トラスト・ログインにプロビジョニングができる」ことに加えて、「Active Directoryにログインすると、トラスト・ログインにも自動ログイン」されます。

出典: https://trustlogin.com/functions/

これらの連携機能については、「何ができて、何ができないのか」を細かく確認した上で、導入を検討するのがよいでしょう。

###(3)認証強化

パスワードのみの認証から、多要素認証（二要素認証）を行いたい場合に用いる機能です。トラスト・ログインでは以下をサポートしています。

• プッシュ通知認証（パスワードレス）
• ワンタイムパスワード (GoogleやMicrosoftなどの無料Authenticator [認証システム] 利用)
• クライアント証明書認証 (デバイス制限)
• IPアドレス制限
• Cookie認証 (デバイス制限)
• ステップアップ認証
• FIDO (生体認証、開発中）

機能追加は頻繁に行われており、最近「プッシュ通知認証（パスワードレス）」が追加されました。プッシュ通知認証は、ログイン試行があった場合に、パスワードを入力するかわりに、「あらかじめ登録したスマートフォンに表示されたボタンをタッチするだけで認証完了」となる機能です。パスワードが不要であること、タッチだけで認証が完了するという手軽さから、グーグルやアドビといった巨大IT企業でも広く利用されています。

また、ワンタイムパスワード、IPアドレス制限、デバイス制限といった認証機能も網羅されています。

##トラスト・ログインの開発体制と対応言語

トラスト・ログインは、GMOグローバルサインの東京本社で開発が行われ、国内データセンターでサービスが運用されています。

日本市場でのみ営業しているので、日本のユーザーのニーズを満たすことを最優先にした開発が行われています。技術資料も全て日本語、サポートも完全日本語、機能追加も日本のユーザー最優先となっている点は心強いと思います。従業員の大半が日本人で、日本国内でのみ営業している場合は、トラスト・ログインとの相性はよいといえます。

逆に、日本で日本語ユーザーが利用することを想定されているため、英語版以外の他言語版は存在しません。日本語と英語以外の言語（中国語、韓国語、フランス語など）を使う従業員がいる企業には向いていません。

##トラスト・ログインの画面紹介

次に、実際のトラスト・ログインの画面を用いて解説します。

###ログイン
トラスト・ログインへのログインは、こちらから行います。

##マイページ（ユーザー向けポータル）
一般ユーザーがログインした後に表示される画面です。アイコンをクリックすると、各アプリへシングルサインオンが可能となります。

また、画面下の「青丸のプラス（＋）」ボタンを押すと、各ユーザーが独自に利用するアプリを追加できます。なお、各ユーザーのアプリ追加を許可するか、しないかは管理者が選択できます。

##ブラウザの拡張機能

なお、ユーザーがマイページにアクセスのは「アプリを追加したい」ときがほとんどで、日々のシングルサインオンはブラウザの拡張機能（アドオン）から行うのが一般的です。

ﾄラスト・ログインの拡張機能を追加すると、ブラウザの右上にトラスト・ログインのアイコン（赤い盾）が表示されます（下記画像はChromeです）。

トラスト・ログインのアイコンをクリックすると、アイコンが表示され、ワンクリックでシングルサインオン可能です。日常のシングルサインオンは、ポータル経由よりもブラウザの拡張機能経由が圧倒的に便利です。

加えて、トラスト・ログインのブラウザ拡張機能には、「今のページにログイン」という機能があります。

例えば、「1つのサービスで複数のアカウントを使い分けていて、簡単に切り替えたい」場合や、「メールでアプリのリンクが送られてきて、クリックしたら認証を求められた」場合に使える機能です。

例えば、Twitterを例に「複数アカウントの使い分け」の場合を説明すると、1つの企業で

• 公式アカウント
• サービスアカウント
• サポートアカウント

があったとします。

この場合、Twitterで公式アカウントを確認しながら、次に別なアカウントに切り替える際、「トラスト・ログインに登録した全てのアプリアイコンから、Twitter別アカウントのアイコンを探す」よりも、「今のページにログイン」をクリックして、Twitterアカウント一覧から選択するほうが短時間で切り替えが行なえます。

次に、「メールでアプリのリンクURLが送られてきて、クリックしたら認証を求められた」という場合です。具体的には以下のようなリンクです（例: Google Driveのファイル共有)。

リンクをクリックした後に、アプリのページに移動しますが、ログインされていない場合は、IDとパスワードなどの入力が求められます。

ここで、トラスト・ログインのアイコンをクリックするとログインできるのですが、アプリのトップページに移動してしまうため、再びURLをクリックしなければなりません。

これを防ぐために、ID・パスワードの入力が表示されたタイミングで「今のページにログイン」に表示されているアカウントをクリックすると、トップページに移動することなく、すぐに目的にURLが表示されます。分かりにくいので、表にまとめると以下の通りです。

これは、個人向けのID管理ツールの「1Password」などにもついていた機能ですが、トラスト・ログインでも利用できます、という話でした（ちなみに以前 1Password 使ってました）。

###管理者向けポータル

以下は管理者向けの画面の説明です。マイページにログインすると、管理者権限があるユーザーは「管理」アイコンが表示されます。

管理アイコンをクリックすると、管理者向けポータルに移動できます。ちなみに、以下の画面はすべての管理権限を持っている管理者です。

画面右側に設定メニューアイコンが表示されています。

上記のメニューごとに説明します。

####ダッシュボード

ダッシュボード上には、「メンバー情報サマリ」「ステータス情報サマリ」「レポートのサマリ」があります。便利なのはレポートサマリ表示で、ここから一般ユーザーや管理者のアクションを確認できます。直近のアクションであれば、ここから探すのが最も早いです。

####メンバー

メンバー合計人数、ステータス、各登録者情報のサマリが表示されます。

右上のメニューからは、カスタム属性（テキストでの属性付与）が行える「カスタム属性一括登録」、また「メンバー登録」が行えます。

既存メンバーの既存情報編集、また削除を行いたい場合は、メンバー名をクリックします。クリックすると、ユーザーの基本情報、アプリ情報、グループ情報、管理者権限の有無などを確認できます。

管理者権限は、5つの権限を1つずつ付与する・しないを選ぶことができるので、「3つだけ権限が付与された『グループ管理者』」のような設定も可能です。

####グループ

グループメニューでは、各グループの概要の表示と、グループの管理が行なえます。

グループ名をクリックすると、グループメンバーの編集、グループメンバー全員に登録されたアプリの編集、新規グループの作成が行えます。

####レポート
ユーザーや管理者の操作を記録表示するレポート画面です。管理画面上で1ページ最大1,000件まで表示できることに加えて、日時指定してExcelからダウンロードも可能です。

####設定

ロゴの設定などを行う「外観設定」と、請求関連の登録の「請求先情報」を除く、機能関連の設定を解説します。

(1)オプション設定
PRO版で利用できる機能の設定やライセンスの割り当てを行えます。

(2)セキュリティポリシー
「セッションの有効期限」「パスワードの有効期限」「未使用アカウントの停止」の3項目を設定できます。

(3)トラスト・ログイン機能制限
ユーザーが自由にアプリを登録する「独自アプリ」、ログイン情報の共有を行う「アプリ共有、メンバーの操作に関する制限についての「メンバーの制御」がここから行えます。

##トラスト・ログインの利用に適した組織

トラスト・ログインを利用して満足度が高い組織は、以下のような組織です。

###1.IDaaSのコストを節約したい（コストパフォーマンス重視）組織

トラスト・ログインは無料から利用できるので、無料で使ってみて十分であれば、無料版のまま使い続けるという選択肢があります。これは他の競合製品にはない選択肢です。

有料版のみの機能を利用したい場合も、1機能110円か、全機能330円かの選択ができ、全機能を選んだ場合でも、大手競合製品の半分以下程度のコストで済みます。コストパフォーマンスが非常に高いです。

トラスト・ログインは、IDaaSの主だった機能は搭載されていますが、「競合製品では搭載されているが、トラスト・ログインに搭載されていない機能」も結構あります。トラスト・ログインに搭載されていない機能が本当に必要か、別な機能で代替できないかを検討してみるのがよいでしょう。「代替できる」という結論担った場合は、コスパ的にはトラスト・ログインが最適でしょうし、「代替できない」場合は他社製品を使うべきです。

###2.従業員が日本語または英語を使える組織

トラスト・ログインは、日本で開発され、日本語でのドキュメントを前提としています。画面の表示言語は日本語と英語の両方が提供されています。このため、従業員の全員（また大多数）が日本語か英語を使える場合は、よい選択肢といえます。

なお、日本市場でのみ営業しているので、日本企業最優先で開発サポートが行われている点もメリットが大きいです。

###3.ITリテラシーが高くない従業員がいる組織

トラスト・ログインは他の競合製品と比べて、UIが圧倒的に分かりやすいので、ITに強くない従業員でも比較的簡単に利用できます。普段業務でパソコンを利用していない従業員が多い職場などでは、最適な選択肢です。

##トラスト・ログインの利用に適さない組織

トラスト・ログインの利用が最適でない組織は、以下のような組織です。

###1.トラスト・ログインにない機能が必要な組織

トラスト・ログインの機能は必要十分なものに絞り込まれているため、例えば Okta などと比べると、欠けている機能もかなりあります。「他社製品にはあるがトラスト・ログインに搭載されていない機能」がどうしても必要（代替不可能）な場合は、他の製品がおすすめです。

###2.日本語・英語以外の言語が利用が必要な組織

トラスト・ログインは、日本語と英語以外の言語が提供されていません。ただ、「英語」といっても、ユーザーが設定画面でアプリ追加を行う、設定変更を行う程度なので、日本語・英語以外が母国語の人であったとしても英語画面の操作で苦しむことはないと思います。

しかし、従業員の多くが「日英以外の言語しか分からない」「カタコトの英語も厳しい」「英語UIへの拒絶反応が強い」という場合は、トラスト・ログインの利用は厳しいでしょう。

##まとめ
トラスト・ログインについてまとめると、「コスパは高く、IDaaSとして必要な機能はほぼ網羅されている」というメリットがある反面、「Oktaなどのグローバル競合製品と比べて機能は豊富でない」「日本語・英語以外の対応なし」というデメリットがあります。

トラスト・ログインは、メリットとデメリットが非常にはっきりした製品です。もし所属する組織が、デメリットに該当しない場合は、IDaaS導入を検討する際にトラスト・ログインも候補に入れてみるとよいでしょう。

ちなみにトラスト・ログインの新規登録はこちらからどうぞ。