UserLock シングル サインオン (SSO) は、オンプレミスの Active Directory (AD) ID を使用して、クラウドアプリケーションに対応するフェデレーション認証を提供します。AD資格情報によるすべてのリソースへのアクセスを実現することで、企業や組織はあらゆるユーザーアクセスを確実に制御できます。
Active Directory SSOの拡張
SSOソリューションは、さまざまなクラウドサービスが導入されている企業や組織にとって、重要な取り組みの1つになっています。エンドユーザーは一度の認証で、すべての企業リソースにアクセスすることが可能になります。Active Directory(AD)はSSOソリューションの良い例の1つです。ADに参加しているすべてのドメインリソースにアクセスでき、追加の認証を行う必要はありません。
UserLock SSOを使用すると、組織はこのADシングルサインオンを拡張して、企業ドメインの境界を越えたMicrosoft 365やその他のクラウドアプリケーションのセキュリティを確保することができます。UserLock SSOは、きめ細かい多要素認証と組み合わせることで、従業員が既存のオンプレミスADの認証情報を使用して、複数のクラウドアプリケーションにアクセスし続けることを可能にします。UserLock SSOは、外部または中央のIDプロバイダを個別に作成または管理する必要がない、シンプルなソリューションです。UserLock SSOは、既存のセキュリティフレームワーク内でシームレスに動作し、社内ネットワーク内のリソースやアプリケーションのアクセスセキュリティを変更する必要はありません。
Windows ADアカウントを使用してSSOを提供する組織には、4つの主要な利点があります。
- すべてのユーザーが1つのログイン認証情報を持つ
- IDプロバイダーとしてActive Directoryを残すことで、簡単にSSOを導入
- 詳きめ細かいMFAと組み合わせることで、安全なSSOアクセスを保証
- 現場とリモートの両方で従業員の生産性が向上
1. すべてのユーザーが1つのログイン認証情報を持つ
クラウドアプリケーションは、連携認証によってリソースにアクセスする機能を提供します。これは、ユーザーのアクセスを確認するために、別のディレクトリ(IDプロバイダー)を使用して、認証プロセスを別の信頼できる認証システムに渡す安全な方法を提供するものです。
UserLock SSOは、信頼できる認証システムの一例です。UserLock SSOは、信頼できる認証システムの一例で、オンプレミスADの認証情報のような企業独自のIDリポジトリを、クラウドアプリケーションの連携認証に使用できるようにする。
Security Assertion Markup Languageは、IDプロバイダー(Active Directory)とサービスプロバイダー(クラウドアプリケーション)の間でユーザーの認証と認可を安全にやり取りする方法を実装したオープンスタンダードである。SAMLは、標準化されており、安全で、優れたユーザーエクスペリエンスを提供するため、広く採用されています。
UserLockはSAML 2.0プロトコルをサポートし、クラウドアプリケーションの連携認証を提供します。その仕組みは以下の通りです。
- ユーザはログインしたいクラウドアプリケーションにアクセスします。
- クラウドアプリケーション(SAMLサービスプロバイダ)は、SAMLリクエストメッセージでユーザーをUserLock SSOにリダイレクトします。
- ユーザーは既存のActive Directoryの認証情報を使って(オンプレミスで)認証されます。
- UserLockは、2つ目の認証要素を有効にしている場合、ユーザにその入力を促すことがあります。
- 認証プロセスが正常に完了すると、ユーザーはクラウドアプリケーションにアクセスできるようになります。
UserLock SSOは、Office 365からCRMソフトウェアまで、すべてのユーザーが1つの認証情報を使用してアクセスできるようにします。これにより、SaaS型クラウドベースのアプリケーションの増加によって発生した、さまざまなユーザー名やパスワードの乱立を防ぐとともに、フィッシングの成功率を下げることができます。さらに、一元化されたユーザーIDを作成することで、業務に必要なリソースへのアクセスのみを許可する、エンタイトルメント管理を実現します。
2. IDプロバイダーとしてActive Directoryを
残すことで、簡単にSSOを導入
例えば、ある組織がOffice 365、Box、Slackを導入したいとします。各サービスを個別に利用する場合、それぞれ個別にログインとパスワードを作成する必要があります。このような状況で、複数のクラウドソリューションを導入しようとする組織にとって、UserLock SSOは重要なツールになります。UserLockは、Active Directoryを権威あるIDプロバイダとして維持しながら、クラウドベースのソリューションと連携するように拡張することで、SSOを簡素化します。
しかし、SSOが必要とするのは、Webアプリケーションだけではありません。エンドユーザーが物理ファイルサーバーや仮想ファイルサーバー、レガシーアプリケーションやウェブアプリケーションにアクセスできるようにする必要があります。また、ユーザーがオフィスにいても、リモートで作業していても、複数のマシンやデバイスからアクセスできるようにする必要があります。
UserLock SSOを使用すれば、組織はMicrosoft Active Directoryを引き続き使用することができ、すべてのアカウント管理を効率化することができます。Microsoft Active Directoryは、従業員の役割やサービスを作成・設定するための中心的な場所として機能し続けます。また、従業員の削除や権限の変更もここで行うことができます。
UserLock SSOは、Active Directoryへの既存の投資を活用し、企業ネットワークやクラウドアプリケーションへのユーザーアクセスを保護する、中断のないSSOソリューションのメリットを得ることができます。主なメリットは以下の通りです。
- 既存のIDディレクトリとパスワードの保持
- ユーザー認証を変更することなく、Active Directoryを通じてユーザー、レガシーアプリケーション、クラウドソリューションを管理することができます。
- アカウント、サービス、ロール、グループポリシーの継続的な適用v
- オンプレミス認証を継続し、最大限のセキュリティを実現
- 新しいSaaSアプリケーションへのオンボーディングをより迅速かつ容易に実現
- 安全なクラウドアクセスが容易に利用できるため、「シャドーIT」の発展を回避することができます。
3. きめ細かいMFAと組み合わせることで、
安全なSSOアクセスを保証
SSOは、パスワードの流出が少なく、危険にさらされるユーザー認証情報が少ないため、セキュリティを向上させることができます。しかし、SSOは1組の認証情報に依存するため、脆弱性があります。これらの認証情報が保護されておらず、危険にさらされた場合、攻撃者はログイン認証情報が許可するすべてのアプリケーションにアクセスすることができます。
ユーザーロックは、SSOと独自のきめ細かいMFAを組み合わせることで、この単一パスワードの脆弱性に対処することができます。MFAの要件は、従業員の生産性を不必要に低下させることなく、確実に保護するためにカスタマイズすることができます。MFAは、企業ネットワークから切り離されたリモートマシンや、企業ネットワーク内のインターネットに接続されていないマシン上で、アクセスを要求し、許可することができます。
UserLockは、認証アプリケーションとYubiKeyやToken2などのワンクリックプログラマブルトークンの両方をサポートし、以下の接続タイプからMFAを有効にしてSSOを保護することが可能です。
- Active Directory のメンバーシップを持つデバイスとスタンドアローンターミナルサーバー。
- リモートデスクトップゲートウェイ接続を含む、リモートデスクトッププロトコルのログオン。
- RADIUSサーバーをサポートする仮想プライベートネットワーク接続、またはMicrosoftルーティングとリモートアクセスサービスを使用する仮想プライベートネットワーク接続。
- Microsoft Internet Information Services for Windows Serversで、Web上のOutlookやリモートデスクトップのWebアクセスを保護します。
- Microsoft、Citrix、VMWareなどの仮想デスクトップ・インフラストラクチャ。
4. 現場とリモートの両方で
従業員の生産性が向上
SSOの主な利点は、エンドユーザーにとっての使いやすさです。クラウドアプリケーションの異なる認証情報を取り除き、再認証を不要にすることで、各ユーザーはアプリケーションへのアクセスに費やす時間を減らし、アプリケーションでの作業に費やす時間を増やすことができます。
UserLock SSOを使えば、ユーザーはクラウドアプリケーションにアクセスするたびに認証を行う必要がありません。また、Internet Explorer、Chrome、Edgeなど、ほとんどのブラウザーでシームレスに使用することができます。ユーザーが企業ネットワークに認証されると、ログイン情報の入力を要求されなくなります。
場合によっては、2つ目の認証要素が必要になることもあります。しかし、SSOときめ細かいMFAを組み合わせることで、管理者は、ユーザーに追加の認証を求めるタイミングを指定し、セキュリティと生産性のバランスを取ることができます。
多くの場合、ユーザーは会社のネットワーク管理外のデバイスや場所から仕事をすることがあります。UserLock SSO を使用すると、ユーザーはどこにいても、どのデバイスを使用していても、クラウドアプリケーションに安全にアクセスすることができます。
UserLock SSOを使用すると、以下のことが可能になります。
UserLock SSOを使用する場合
- Windowsネットワークに認証されているユーザーに即時アクセスを許可する。
UserLock SSOは、ユーザーがアプリケーションに直接ログインしなくても、クラウドアプリケーションに対してユーザーのIDをアサートし、認証します。これは、ユーザーがオフィスでもリモートでも、どこで仕事をしていても同じです。 - Windowsネットワークに認証されていないユーザーへのアクセスを提供する。
Windowsネットワークに認証されていないユーザーには、簡単にアクセスを提供することができます。ユーザーは、まずクラウドアプリケーションに会社のメールアドレスを入力してログインします。UserLock SSOはWindowsドメインログインの認証情報を要求し、有効であれば2つ目の認証要素を要求することができます。ユーザーがログインに成功すると、アプリケーションにリダイレクトされます。この簡単なプロセスは、スマートフォンのブラウザからモバイルアプリまで、どこでも同じように機能します。
UserLock SSOでは、サーバーがユーザーの特定のクラウドアプリケーションへの接続を許可すると、SaaSアプリケーションはリクエストごとに使用される「認証」クッキーを作成します。このクッキーは自動的に更新されるため、再認証の必要はありません。
- 異なるクラウドアプリケーションに自動的にアクセス権を付与する。
ユーザーが認証に成功すると、必要な他のアプリケーションにすぐにアクセスできるようになります。セキュリティ強化のため、管理者は各ログインにMFAを要求することができます。