SeciossLinkでクラウドサービスの特権ID管理

schedule 2022/11/14  refresh 2023/11/08

 

 

クラウドサービスの利用が増えていく中で、クラウドサービスの特権IDの管理がセキュリティ上の課題となります。


SeciossLinkの特権ID管理機能を利用することで、そのような課題を解決することができます。

 

特権IDの管理に関しては、昔からLinux、Widnwos、データベース等のサーバーの特権IDを管理する製品はいろいろとありますが、SeciossLinkはクラウドサービスの特権ID管理を得意としています。

 

SeciossLinkでは、特権ID管理の認証やアクセス制御がIDaaSと統合されているため、特権IDに対して様々な多要素認証や高度なアクセス制御を設定することができます。

 

今回はGoogle Workspaceを例にクラウドサービスの特権ID管理を行う方法を説明したいと思います。

 

シングルサインオンの設定

特権ID管理では、クラウドサービスにシングルサインオンでログインするため、SeciossLinkの管理コンソールの「シングルサインオン」-「クラウドサービス」からGoogle Workspaceのシングルサインオン設定を行います。

 

シングルサインオンは、SAML、OpenID Connect、OAuth、代理認証に対応していますので、それらの方法でログインできるクラウドサービスであれば、特権ID管理を行うことができます。

 

 

特権IDの設定

特権IDの設定を行います。


「特権ID管理」-「特権ID」から特権IDの登録を行い、サービスに”Google Workspace”、ログインIDにGoogle Workspaceの特権IDのメールアドレスを設定して下さい。


今回はGoogle Workspaceのユーザー管理者のメールアドレスを設定しています。

 

 

アクセス制御の設定

Google Workspaceの特権IDでログインする際のアクセス制御を設定します。


「アクセス権限」-「新規登録」から、アクセス権限を登録して下さい。


”アクセス先の特権ID”に”Google Workspace”設定し、要求される認証方式には今回は”証明書確認”、”ワインタイムパスワード(トークン)”を設定しています。

 

また、特権IDのアクセス権限として”許可する端末”、”許可するネットワーク”、”許可する国”、”許可する国”を設定できます。


今回は、”許可する国”を日本に制限し、”許可する時間”を月~金の10:00~18:00の営業時間内に制限しました。

 

 

特権IDの利用許可

特権IDの利用をユーザーに許可します。


「ユーザー」-「一覧」から特権IDの利用を許可するユーザーを選択して、「特権ID」タブから特権IDを許可します。


”サービス”に”Google Workspace”、”特権ID”にログインするメールアドレスを設定します。


”取消契機”には、”1回のみ”、”期間指定”、”無期限”が設定できますので、運用に合わせて選択して下さい。

 

 

特権IDでのログイン

特権IDでクラウドサービスにログインするには、まずSeciossLinkのユーザーポータルに特権IDを割り当てたユーザーでログインして下さい。


ユーザーポータルにログインすると、右上のメニューに”特権IDポータル”がありますので、そこから特権IDポータルにアクセスして下さい。

 

 

特権IDポータルには、特権IDを許可したGoogle Workspaceのアイコンが表示されていますので、アイコンをクリックしてGoogle Workspaceにログインします。

 

 

Google Workspaceの管理コンソールのログイン画面でメールアドレスを入力すると、SeciossLinkでの認証が要求されます。


証明書確認、ワンタイムパスワード認証が成功すると、Google Workspaceの管理コンソールにログインすることができます。

 

 

SeciossLinkを利用すれば、シングルサインオンに対応しているクラウドサービスであれば特権IDに対して詳細な認証やアクセス制御の設定が可能です。