こちらは、2018/4に作成した記事を、2018/11に加筆し、さらに2019年12月に修正しています。
なぜシングルサインオンツールが必要?
クラウドサービスを使って業務を進めるようになったり、クラウドサービス上にプロジェクトの情報などを保持するようになって久しいですが、「各クラウドサービスのIDパスワードをどう管理しているか」というと、「ユーザー個人が管理」と「会社が一元管理」が混在したままになっている企業は多いのではないかと思います。
そして、問題なのは「ユーザー個人がIDパスワードを管理」しているアプリ。例えば、社員が入社したとき「入社前からずっと同じSkypeのIDでやってきたんで」と言われれば、「ではそのIDパスワードで使い続けてね」と言っている企業が多いかと思います。しかし、そのSkypeのIDパスワードが使い回しになっていない保証がありません。もし使い回されていた場合、Skypeをハックされたら芋づる式に他のアプリのIDパスワードもハックされて情報が盗まれる可能性もあります。
よって、「できるだけクラウドアプリのID・パスワードは会社が一元管理する」となると、シングルサインオンツールが必要となります。
あとは退職者の扱いも注意すべきポイント。退職者が複数のクラウドアプリのIDパスワードを持ったまま退社してしまった場合、退職者がどのアプリでアクセス権限が現在あるのかないのか、を調べるのが大変。
そうなると、クラウドアプリを一元管理しつつ、管理監査機能、レポート機能、ログ機能が重要になります。この辺も大切です。
パスワードマネージャーはシングルサインオンツールではない
ちなみに、パスワードマネージャーの多くは個人利用が想定されていて、「管理者=ユーザー」となっています。しかし、企業でそれなりの人数で導入しようとなると「管理者≠ユーザー」です。よって、パスワードマネージャーを企業で導入するのではなく、クラウドアプリに対応したシングルサインオンツールを導入する必要があります。
ちなみに、こうした「企業向けのシングルサインオン製品」は IDaaS (Identity as a Service) と呼ばれています。IaaSとかSaaSとかDaaSとかの、新しいやつです。
Active Directoryではだめなのか?
なお、シングルサインオンツールというと「Active Directory」(以下ADと略)が思いつく方も多いと思います。大手企業であれば、2000年代前半にはおおむね導入が完了しているので、現在もそのまま使っている会社も多いと思います。
しかし、AD(Azure ADではないオンプレミスのほう)でカバーされているのは基本オンプレミス環境のシングルサインオンで、クラウドサービスへのシングルサインオンではないです。
Azure AD(クラウド版AD。オンプレ版ADの後継)では、クラウドへのシングルサインオンが提供されていますが、現在ADを導入している企業のすべての企業がAzure ADに移行するわけではないですし、現在ADを利用していない企業が今後Azure ADを導入するわけでもないです。
そして、Azure ADのようにすべてオールインワンで管理するのではなく、社内のリソース管理的に「ディレクトリ管理・端末管理」と「シングルサインオン」を別にしたい企業もあるかと思います。そうした企業向けには、シングルサインオンだけ切り出した「IDaaS」を単体で導入するという選択肢がある、というわけです。
IDaaSだけ使うのであれば、現在のオンプレADを当面はそのまま使い続けられるというメリットもありますね。
なお、「うちはIDaaSの導入ではなく、クラウドへのシングルサインオンをAzure ADでやりたい」という企業の場合は、マイクロソフトとの既存の契約を確認しましょう。
既存のマイクロソフトの契約でAzure ADが使えるのかどうか、またAzure ADを使うために追加でいくら支払う必要があるかを販売代理店の担当営業に確認することをおすすめします。Office365やAzure ADのライセンス形態は分かりにくいので、ホームページを見ながらうんうん考えるより、聞いた方が早いです。
海外の大手シングルサインオンツール
海外(アメリカ)の有名なシングルサインオンツールで、日本で利用できる有名どころは2つです。
Onelogin
日本法人があり、日本語のホームページがあり、日本にも多くの販売代理店があるのがOnelogin。月額2ドル/1ユーザー、4ドル、8ドルという4通りのプランがある。
以前はアプリ数と機能は限られるものの、無料で使えるプランがありましたが、現在ではなくなっています。残念。
注意点ですが、Oneloginを日本語で使おうとすると4ドルか8ドルのプランを選ばなければならないということ(英語以外の言語は全て4ドル以上でしか利用できない)。そして、4ドル以上を払っても、管理画面は英語であること。管理者の負担が地味に生じるので注意が必要です。
4ドル以上を支払えば、機能も多くあるし多要素認証も利用可能、複数ディレクトリ連携もできて便利と、なかなかのすぐれものですが、弱点もあります。海外のメジャーなクラウドサービスにはほぼ対応できていますが、国産のクラウドサービスへの対応状況はまだまだ。Chatworkや楽楽精算くらいメジャーな製品であれば対応しているが、業界特化型の製品であったり、特定ジャンルの二番手、三番手製品への対応ができていないこともあります。
Oneloginのホームページからは、対応アプリの全リストは確認できないので、対応状況についてはOneloginの窓口または代理店の窓口に確認するのがよいでしょう。
ちなみにOneloginの登録はこちらからどうぞ。
Okta
日本では存在感が低いが、IDaaS業界では世界最大手で、既に上場している会社なのがOkta。世界最大手なのに、日本で存在感が低い理由は、「日本法人がない」ことと、「日本のビジネス展開に積極的でなかった」こと。
2019年になって、日本語のホームページができましたが、2019年12月時点の日本語対応ページは「トップページ」「製品紹介ページ」「oktaについて」「お問い合わせ」の4ページのみ。製品情報、技術情報については、英語ページを見るか、代理店経由で収集するかのどちらとなります。
本格的に日本展開を始めたのは、2018年9月(日立ソリューションズとパートナー提携)。日立ソリューションズ以外のパートナーがどれだけいるか不明なので、販売店同士を相見積もりで競わせてコストを下げる的な調達アプローチは難しいかもしれません。なお、okta日本語ページならびに販売店ページともに、価格情報を載せていないので、「できるだけ価格を隠して、あれこれ一緒に販売したい」のか、「日本は英語圏より高い料金が設定されているのか」の、どちらかではないかと思います。
とりあえずアメリカの価格表を引用。
なお無料プランはなく、有料プランのみ。価格は「シングルサインオン」「多要素認証」など機能ごとに費用がかかるため、他の製品よりも圧倒的に高額になります。機能をざっと見たところ、Oneloginとほぼ変わらないという理解です。ちなみに、ユーザー画面は日本語対応しているが、管理画面は英語のみである点は注意が必要。
また、年額1500ドル以上の支払いが必要なので、ユーザー数が少ない場合は選択肢から自動的に外れます。
対応アプリ一覧はこちらから見られますが、国産アプリはchatwork以外はほぼ見つかりませんでした。
Oktaの登録はこちらからどうぞ。
国内の大手シングルサインオンツール
トラスト・ログイン
GMOグループの製品で、2019年に「SKUID」という名前から改名されています。この製品の特長は、基本無料で提供されている製品だということ。多要素認証やディレクトリ連携を使わず、一般的なシングルサインオンとログ・レポートだけ利用するのであれば、無料で使い続けられます。
有料機能は、(1)各機能を単品100円で買う、もしくは(2)有料機能まとめパックの「PROプラン」を300円で買う、のいずれかで利用可能。単品でそれぞれ買うよりも、PROプランを導入する方がお得。また、ログ保存年数はPROプランに入らないと、1年のままなのも注意。
OneloginやOktaに比べると、多要素認証の対応機能、サードパーティー連携などが弱いですが、国産アプリの対応がとにかく強いです。ここから対応アプリを検索できますが、メジャーなアプリはほぼ網羅されています。リクエストフォームからアプリ対応リクエストを送ると、かなりの確率で対応してくれます。
あと、技術情報が日本語で提供されているのは便利です。
トラスト・ログインの登録はこちらからどうぞ。
KDDI Business ID
KDDIのIDaaS製品、だと思っていたら接続先が非常に少ないのではないかという疑問。
KDDI Business IDが連携できるのは、
・「ベーシックパックプラス」
・「LINE WORKS with KDDI」
・「G Suite」
・「Office 365 with KDDI」
・「KDDI ChatWork」
・「KDDI Knowledge Suite」
・Salesforce
・「Cisco Webex with KDDI」
・「KDDI EMM Powered by VMware AirWatch(R)」
しかない。
KDDI関連の一般的でないアプリを除くと、KDDI Business IDで連携できるのは、
・LINE WORKS
・G Suite
・Office 365
・Chatwork
・Salesforce
・Cisco Webex
・VMware Airwatch
の7つしかないことに。正直、使えないですね。金額体系は以下の通りですが、金額うんぬんより対応アプリが少なすぎて使う場面がなさそうです。
KDDI Business IDの問合せはこちらからどうぞ。
IIJ IDサービス
ネットワークの老舗、IIJが提供するサービス。
しかし、対応するアプリは全部で36個のみ。この記事を執筆しているのが2019年12月だが、最後にアプリが追加されたのが2019年2月。10か月間アプリ追加なしなので、対応アプリ数を増やすことには注力していないようです。
念のため料金はこちらだが、使う場面は難しそうです。
IIJ IDサービスの登録はこちらからどうぞ。
Azure ADのSaaSシングルサインオン機能は使えるか?
前の項目でADならびAzure ADについて少しコメントしましたが、「Azure ADのシングルサインオン機能は使えるのか?」という質問を頂いたので追記します。
・既にAzure ADが導入されている
・国産のSaaSはほとんど使わず、海外SaaSのみ利用している
・ローカルシステム(自社独自システムなど)へのシングルサインオンが不要
この3つを満たす場合は、Azure ADのシングルサインオン機能を使うのは大いにありです。
ただ、シングルサインオンを目的にAzure ADを導入するのは、導入の手間も考えるとオーバースペック感が強いため、あくまで「シングルサインオン以外のAzure AD機能を利用したい。そしてついでにシングルサインオン機能も利用したい」方が導入するのがよいかと思います。
シングルサインオン目的のみでAzure ADを入れるのはおすすめしません。
結局どのシングルサインオンツールがいいの?
機能的にはOnelogin, Okta, トラスト・ログインの3択といってよいかと思います。
Onelogin
メリット
・機能が多い
・日本法人がある
・販売店が多い
・コストが中くらい
デメリット
・国産アプリの対応が少ない
・管理画面が英語のみ
・日本語の技術情報が少ない
Okta
メリット
・機能が多い
デメリット
・日本法人がない
・販売店が少ない
・コストが高い
・管理画面が英語のみ
・日本語の技術情報がない
トラスト・ログイン
メリット
・国産アプリ対応が多く、アプリリクエスト可能
・メーカーが日本企業で日本語サポート可能
・コストが安い
・管理画面が日本語
デメリット
・機能が少ない(多要素認証の種類など)
まとめますと、以下の通りです。
- 機能が多く、日本での導入実績が多いことを重視したいのであれば、Oneloginがおすすめです。
- 機能が多く、世界での導入実績が多いこと、日立ソリューションズと深い付き合いがあるのであれば、Oktaがおすすめです。
- 基本機能がほぼ網羅されており、後は日本語対応、国産アプリ対応の数が重要、という場合は、トラスト・ログインがおすすめです。
唯一、無料で使えるのがトラスト・ログインなので、トラスト・ログインで無料ではじめてみて、問題がなければそのまま継続利用、または有料版を検討。もし問題があれば、OneloginやOktaを検討するのがよいかと思います。
最後に
クラウドサービスへのシングルサインオンを提供する製品は、ニーズが高いのでどの会社も我先にと開発していて、多数の製品があるかと思いきや、日本においては海外勢はOneloginとOkta、そして国内製品はトラスト・ログインを比較対象に入れるべきと思いました。
Oktaが日本では存在感が弱いので、日本国内ではOneloginとトラスト・ログインで悩むシステム担当者が多いのではないかと想像します。