casestudy

ID管理システムをオンプレミスからIDaaSへ完全移行

作成者: 株式会社セシオス|May 23, 2024 10:21:23 AM

 

セキュリティを保ちながら従業員が働きやすいIT環境を構築するには、適切なアカウント管理が必要不可欠です。組織で利用するシステムが次々とクラウド化する中で、アカウント管理を担うID管理システムをオンプレミスで運用し、運用や保守などのコストが課題となっている企業も多いのではないでしょうか。

今回ご紹介するのは、複数台のActive Directory(AD)をオンプレミスのID管理システムで運用している場合でも、クラウド型ID管理システムのIDaaSで一元管理し、運用保守などの大幅なコスト削減に成功したお客様の事例です。

 

 

このお客様は、拠点ごとにADを立てて運用していたため、それらを統合的に管理する目的でオンプレミスの
ID管理システムを構築していました。ID管理システムによって、従業員の入退社や異動、休職などによるアカウント情報の登録・更新が必要な場合でも、各ADごとにメンテナンスする必要がなく、一元的に管理されます。
しかしコロナ禍で在宅勤務を推進する目的で、後から導入したGoogle Workspaceなどのクラウド
サービスはID管理システムと連携されておらず、個別でアカウントを管理する必要があり、運用工数の増加が課題となっていました。


この課題を解決するためには、稼働中のオンプレミスのID管理システムへの設定変更や機能開発が必要です。しかし、この設定変更や機能開発にかかるコストが大きな問題となっていました。

オンプレミスのID管理システムは、お客様環境に合わせてカスタマイズができる点でクラウドサービスに比べて格段に自由度が高く、社内システムや複雑なライフサイクル管理が必要な場合にはその利点を存分に発揮できます。一方で、コスト面で課題を抱えています。一つは、サーバーなどの運用保守費用です。これはシステムを安全に運用し続けるために必要なコストですが、定期的なセキュリティパッチの適用以外にも、バックアップや冗長化などにも人的リソースを含むコストが必要となります。そしてもう一つは、システム構築後に発生した追加要件などの開発費用です。この開発費用は、例えば今回のようにアカウント情報を同期させるシステムを増やしたり、組織の変化に伴いIDの運用方法も変わったことでプログラムの改修が必要になったなど、当初想定していた運用が困難になった場合に追加で必要になるコストです。

 

 

特に昨今は、企業を取り巻くビジネス環境の変化や、企業が利用するシステム数の増加でIDのライフサイクルが複雑化しています。そのため、これまでのような数年単位でID管理システムを再構築(リプレイス)するような運用では変化に対応できず、結果的にコストが肥大化する原因となっています。

そのような点から、このお客様は、運用が変わるたびに追加コストが発生するオンプレミスシステムから、定期的にアップデートや新機能のリリースが行われて拡張性が高い、クラウド型ID管理システムのIDaaSへの移行を決めました。

 

 

 

今回、これまでID管理システムが担っていた役割をSeciossLinkに置き換え、さらに認証基盤の整備を行いました。

各サービスのアカウント情報の元となる情報(ID源泉)が人事システムのため、人事システムから書き出したCSVファイルをSeciossLinkに取り込むことで、SeciossLinkを起点としたID管理を可能にします。ADなどの各サービスには、SeciossLinkからアカウント情報やグループ情報を同期することで、アカウント登録・更新を自動化します。今後、連携するクラウドサービスが増えたとしても、お客様が必要なタイミングで
SeciossLinkの管理コンソールから追加が可能になります。

また、認証に関しても、SeciossLinkとクラウドサービスとをシングルサインオン連携したことで、ユーザーが一度ログインすると、連携サービスには認証をせずにアクセスできるようになりました。ワンタイムパスワードや、生体認証を利用した多要素認証など、こちらもお客様のタイミングで導入できるようになり、段階的に会社全体のセキュリティを高めることが可能になります。

 

SeciossLink連携後のアカウント管理の流れは、以下のとおりです。

 

  1. 1. 人事システムからCSVファイルをエクスポートする。
  2. 2. CSVファイルをSeciossLinkにインポートする。
  3. 3. SeciossLinkから各ADにアカウント情報を自動で同期する。
  4. 4. SeciossLinkからシングルサインオン連携サービスにアカウント情報を自動でプロビジョニングする。
  5. 5. アカウントの登録・更新が完了します。

 

認証の流れは、以下のとおりです。

 

  1. 1. ユーザーがクラウドサービスにアクセスします。
    2. SeciossLinkにリダイレクトされます。
    3. 認証画面(ログイン画面)を表示します。
    4. SeciossLinkで認証が完了すると、クラウドサービスにリダイレクトします。
    5. クラウドサービスが利用できるようになります。

 

 

 

・SeciossLinkの統合ID管理機能により、これまでオンプレミスのID管理システムが担っていた複数のADとのID同期を実現。SeciossLink上のアカウント情報を更新することで、自動で該当のADが更新されるようになり、管理工数の負荷が軽減された。

・クラウドサービスであるSeciossLinkに移行したことで、運用保守費用や追加開発費用などのID管理に関するコストが大幅に削減された。

・シングルサインオン連携により、ユーザーは一度ログインすると、連携する他のサービスには認証操作をせずにアクセスできるようになった。