はじめに こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です...
はじめに
こんにちは、 ネクストモード株式会社 のSaaSおじさん久住です
ネクストモードではID統合管理(IDaaS)のOktaを利用して各SaaSへのシングル・サインオンやプロビジョニングの一元管理をしています
今回からお客様からのニーズが多いOktaとActive Directory(AD)の連携について掘り下げて紹介していきたいと思います
OktaとADの違いって何?
「OktaとADってそもそも何が違うの?同じユーザー情報を管理するものなんじゃないの?」という疑問がある方もいるかも知れません
そこでADとOktaのID管理の違いについて、簡単に触れておきたいと思います
ADでのID管理では社内のネットワークやシステムを中心とした考え方であり、その中でのID改廃やPCやファイルサーバーの管理・制御ができることが特徴となっています
また、ADFS(Active Directory Federation Service)を利用してシングルサインオン環境を構築することも可能です
一方で、ADの運用にはADサーバーのハードウェアやバージョンアップ等の運用コストがついてまわります
Oktaはマネージド・サービス(IDaaS)として提供することでADが抱える運用コストを解消します
また、ベスト・オブ・ブリードな製品として7400以上のSaaSに対応し、SaaSへのアクセスを前提としたID管理となっており、シングルサインオンもSAMLやOpenID Connectなど複数の認証に対応していることも特徴です
OktaとADの連携メリット
Active DirectoryによりID管理している中で利用するSaaSが増加し、統合的なID基盤が必要になってきた場合に、OktaをID統合基盤として利用するためにユーザー情報をADから同期することがあります
ADはすぐには無くせないけど将来的に無くしていきたい、その中で柔軟に既存のディレクトリと連携できるID統合基盤を整備したい、そんなニーズに対応できるのがOktaです
実現できること
OktaとActive Directoryの統合によって実現できる主要なこととしては下記が挙げられます
- ADからOktaへの同期
- OktaからADへの同期
- Desktop Single Sign-on
それぞれの詳細は個別のブログでご紹介しますが、ここでは簡単に概要をご紹介したいと思います
1.ADからOktaへのディレクトリ同期
ADで管理している情報(ユーザー、グループ)をOktaに同期することができます
ADユーザーに紐づく属性もOktaのUniversal Directoryという機能を利用することにより、AD上で管理していた属性そのままOktaに持っていくことができます
ADパスワードをOkta AD Password Sync Agentを利用してOktaを介してアプリケーションに同期することも可能です
2.OktaからADへのディレクトリ同期
Oktaで管理している情報(ユーザー、グループ)をADに同期することができます
既存システムの性質上、どうしてもADが必要な場合など、OktaをメインとしつつADにもOktaから同期することが可能です
OktaからADへのパスワード同期については下記エントリーをご参照ください
3.Desktop Single Sign-on
Desktop Single Sign-on(DSSO)では、ADに参加しているPCでWindowsドメインにサインインすると、Oktaによって自動的に認証されます
PCへのサインインだけでOktaでのSaaSアクセスを追加の認証要素を必要とせずに実現できるため、利便性向上につながります
実現できないこと
ADとOktaの連携のためにはADに参加しているサーバーにOkta AD Agentという専用のエージェントをインストールする必要がありますので、AD環境側に一切手をつけずに実施することはできません
しかし、Okta AD Agentは443ポートのアウトバウンド通信のみ必要とするため、セキュアな環境を保持することが可能です
また、運用上あまり現実的な課題とならないと想定されますが、ADからOktaの定期的な同期は1時間に一回が最短となります
それより短い間隔で実施したい(もしくはすぐにADからOktaに同期したい)場合は手動、もしくはJITプロビジョニングを有効にしてリアルタイム同期をする必要があります
さいごに
お客様を支援させていただく中で、ADとOktaの連携のニーズは多くあります
せっかくなら私たちが持っている知見を内部にとどめず、解放してしまえ!ということでどんどん書いていこうと思います