ココネ株式会社
東京都港区六本木4-1-4 第一黒崎ビル4・6階
URL:https://www.cocone.co.jp/
アプリケーション選択基準は「SAML認証とプロビジョニング」です
OneLoginを採用してからアプリケーション選択基準がかわりました。スピードを考えるとクラウドを組み合わせるモデルが今後の選択肢になります。
ココネ株式会社 インフラチーム チーム長 徳山 文晟 様
ココネ株式会社はどんな会社ですか?
2003年10月NHN Japan(現:LINE株式会社)の初代代表取締役兼CEOであった千良鉉氏が、2009年7月設立創業した会社。
スマートフォンアプリ「ポケコロ」、語学教育アプリを提供する企業で、ゲーム市場とは違うスマートフォンアプリを提供する企業です。ココネ株式会社は、心(ココロ)、言葉(コトバ)、人と人の繋がり(ネットワーク)の頭文字から名づけられました。
■エンターテイメント
ポケコロ、スラッシュ!、LINE ツアーズ、
アクマッチ
■語学
英語 聞き取り王国、英語 組み立てTOWN、
場面別韓国語、クロスワードで英単語 、JAPOW!
■ヒーリング
だいじょ部
■コミュニティ
TonTon
OneLoginで利用するアプリケーションは?
現在利用しているアプリケーションは以下の6つになります。
・JIRA
・HipChat
・Zendesk
・AWS Console
・GoogleApps(準備中)
・LDAP連携
これらのアプリケーションでSAML対応しているアプリはSAML認証で利用しています。
HipChatはOneLoginからユーザー追加・削除するプロビジョニングに対応しているので利用しています。
SAML認証はやり易いです。アプリケーションのログイン画面で、OneLoginでの認証にリダイレクトされ、OneLoginでユーザー判定をした後に、アプリケーション画面に戻ります。SAML認証を利用できるアプリケーションでは、プロビジョニングにも対応させることができるので、システム連携が非常に高い構成になります。
顧客サポートは日本製サービスを利用することも検討しましたが、OneLoginでユーザー管理が一元できるZendeskを採用しました。ZendeskもSAML認証とプロビジョニングを利用しています。 社内アプリケーションもSAML認証にすることができないか模索中です。
ココネのID管理は現在LDAPを使っています。
OpenAMも検討しましたが、運用する上で金銭的コスト・管理コストが高くなると判断しました。認証・アカウント管理ができるシンプルなフロントエンドシステムが欲しかったところに、OneLoginは合致しました。
OpenAM導入コストを考えると、ユーザビリティはOneLoginが良かったですね。(徳山氏)
OneLoginのご利用環境
現状ココネでは、社内からエンジニアがMac環境からのアクセスで、デザイナはWindows環境から接続して、計150名社員がOneLoginを利用しています。
今後は、CSサポートのZendeskは接続IPアドレス制限を併用して、社外からのアクセス使用もあるとおもいます。
また、会社からはOTPを準備するようにリクエストがあります。社内からOneLoginへ接続認証はIDパスワードで利用していますが、社外からの接続にはOTPを併用するようにしていきます。
また、社員とアルバイトのアクセス権限コントロールもおこないます。
社員とアルバイトそれぞれの役割ごとに利用するアプリケーション設定して、「社員の開発者」「アルバイトのデザイナー」ごとにアクセスコントロールすることができるようにします。
現在は業務サーバーへの接続は「社内」からの接続のみが認められ、社外からの接続はVPN経由で一度社内ネットワークに入って業務していますが、今後は「社外」からの接続をVPNなしで接続できるようにしたいと考えています。OneLoginをベースに考えるからこそできるロードマップですね。(徳山氏)
アプリケーションの選択基準に変化
実は私自身が承認を出す側の人間でもあるのですが、OneLoginのようなサービスを導入できたのはやはり管理者・推進者が自ら考えていった方向性であるという部分が大きいかと思います。逆にそのくらい踏み込んで考えていかないと、セキュリティ製品も高度化されていますので、パスワードを含むアカウント管理システムの導入は難しいのではないでしょうか。
例えばネットワーク機器などはIT部門に任せてしまう、という方法もありますが、今回のようにユーザー視点に立つ必要がある場合など、製品を総合的な観点から見るときには、管理者のような人間がパスワード管理の課題解決に踏み込んで行くのはありなのではないかと思っています。
ココネ株式会社のアプリケーション選択基準(2014年7月時点)
- SAML認証とユーザープロビジョニングに対応していること
- APIが公開されておりユーザー追加・削除が行えること
OneLoginを利用するメリットは何ですか?
スピードを考えるとクラウドサービスを組み合わせて実現していく方法になります。
それぞれの分野で最適なクラウドアプリケーションを選定して、それらを組み合わせるモデルが今後の選択肢になります。OneLoginによって外部サービスとの認証連携が容易になるので、対応しているサービスは導入がスムーズになります。(徳山氏)
OneLoginへの希望は何ですか?(2014年7月時点)
以下の3点を希望します。
1. 管理者は英語でも良いが、ユーザーには日本語で提供して欲しい
2. 簡単な事ですが FirstName, LastNameの順番を言語設定によって入れ替えられるようにして欲しい
3. 独自アプリをSAML化させるインターフェースを提供して欲しい
OneLoginサービスと他社を比較して感じたこと
他社SSOクラウドサービスと比べて、OneLoginはリポジトリ連携が良くできていました。
リポジトリ=LDAPを冗長構成にしている場合には、OneLoginが参照するLDAPを複数設定できるようになっており、LDAPをメンテナンスする場合は片方のLDAPを接続中止にすることも簡単に設定できるようになっており、ちゃんと実現できている印象でした。また、LDAP冗長構成にも対応しており、プライマリ/セカンダリそれぞれの保守作業にもON/OFFができるので、ちゃんと考えてつくられていると思いました。
他社サービス(okta)は、一度設定した接続がうまく動作せず、また削除できずLDAP連携は期待した機能がありませんでした。(徳山氏)
本日はたいへん有意義なお話をありがとうございました。
リクエスト回答
1. 管理者は英語でも良いが、ユーザーには日本語で提供してほしい
>はい。ユーザー画面UIを日本語化対応は、ご提供の最終確認段階です。7月にご案内いたします。
2. 簡単な事ですが FirstName, LastNameの順番を言語設定によって入れ替えられるようにして欲しい
>これも要望していきます。
3. 独自アプリをSAML化させるインターフェースを提供してほしい
>SAML ToolKitをご案内させていただきます。お客様のアプリにSAML認証を追加する「SAML ToolKit」をご利用いただくことでSAML対応を容易に進めることができます。