ココネ株式会社
東京都港区六本木4-1-4 第一黒崎ビル4・6階
URL:https://www.cocone.co.jp/
OneLogin 利用の最初からディレクトリサービス(LDAP)を導入することがお勧め
Cocone はクラウドサービス認証に、OneLogin と LDAP を同時に導入しました。100 ユーザー以下でもディレクトリ管理に取り組んだ方がいいと思います
ココネ株式会社 インフラチーム チーム長 徳山 文晟 様
ココネ株式会社はどんな会社ですか?
2003年10月NHN Japan (現:LINE株式会社)の初代代表取締役兼CEOであった千良鉉氏が、2009年7月設立創業した会社。
スマートフォンアプリ「ポケコロ」、語学教育アプリを提供する企業で、ゲーム市場とは違うスマートフォンアプリを提供する企業です。ココネ株式会社は、心(ココロ)、言葉(コトバ)、人と人の繋がり(ネットワーク)の頭文字から名づけられました。
■エンターテイメント
ポケコロ、スラッシュ!、LINE ツアーズ、
アクマッチ
■語学
英語 聞き取り王国、英語 組み立てTOWN、
場面別韓国語、クロスワードで英単語 、JAPOW!
■ヒーリング
だいじょ部
■コミュニティ
TonTon
ユーザーの OneLogin への接続方式と利用アプリについて教えてください。
基本的にはそのままで、これまでと変えていません。
今のところ社内からは ID パスワードで使っています。Google Apps などへのログインは、OneLogin からアクセスしています。社外から OneLogin へのアクセスには OTP を利用していません。
利用しているアプリは、Google Apps と Zendesk で、それ以外には WordPress も OneLogin を利用しています。(徳山氏)
開発アプリ GitHub, Qiita の相談が増えてきました。御社ではいかがですか
準備中アプリでは、Workflow ツールを検討しておりBPM Questetra を全員で使おうとしています。
OneLogin との連携は SAML 動作確認がとれています。専用の対応アプリコネクターではないですが、汎用的コネクター OneLogin SAML Test(SP) 設定すると動作しました。これを利用できると全員で認証利用をまとめられるので、SAML に対応しているサービスはいいなと改めて思いました。(徳山氏)
会社で利用する端末デバイスはどのような環境ですか。
タブレットを使っている者もいます。外からだと利用は主にメールになるので、Google Apps は SAML 認証でログインさせて、ネイティブアプリと同期をとっています。Google ネイティブアプリでは初回ログイン時に OneLogin にリダイレクトされ、OneLogin の認証が利用できました。モバイル端末は会社支給ではないですが、iPhone・iPad は個人所有のモノでも利用制限はしていないです。PC は会社支給です。Mac ユーザーが全体の1/3程度です。(徳山氏)
ユーザー管理について教えてください。
ユーザーリポジトリは LDAP を冗長構成で運用しています。デュアルマスター状態で2台をミラーモードで運用しています。両方に書き込み可能で、仮想のドメインを DNS 経由のアクセスで利用しています。LDAP を利用する場合のドメイン構成です。2台を AWS 上に構成しています。
一般的にスタートアップのベンチャーでディレクトリ管理を実施できている会社は少ないと思います。100人未満の会社で完全にディレクトリでコントロールしている話はなかなか聞かないですね。まずは「ID 管理をしよう」という気持ちで LDAP を選択しました。(徳山氏)
LDAP でどこまで ID 統合管理していますか。
LDAP ユーザーのグループ所属により、OneLogin で適応するポリシーを絞ったりできるのですが、今のところ会社としては自由度高く利用できる方針を選択しています。
LDAP 側に障害が発生したことは無く、メンテナンスで再起動するなどのことはあるのですが、特に問題はおきていません。
OneLogin は2台構成の LDAP に対応しているので、メンテナンス作業も問題無いです。
リポジトリを冗長化しているので OneLogin との連携は問題無いですね。
外部サービスで業務をおこなう上で、認証をおこなうことは当然の事となってきているので、ID 管理と認証をまとめることができることは今後重要になってきますね。(徳山氏)
管理者によるアプリケーション利用権限付与について教えてください。
所属の異動によるアプリケーションの利用変更はそれほどありません。当然 LDAP から OneLogin にグループのマッピングを使っているので、Role と Mapping を使用してアプリケーションを自動でマッピングしています。LDAP 側グループの所属でアプリ利用権限の提供をしています。
認証を求める上で、権限情報をそれぞれのアプリケーションで管理することでは意味が無いので、LDAP でユーザー情報(誰がどの権限をもっているか、何できるか)を持たせ、アプリケーション側で権限をなるべく設定しないようにしています。LDAP 側でグループを作って、そのグループに対して所属する・しないで、権限を持つ・持たないを更新できるようにしています。
権限変更は入退社と異動の頻度で発生させています。Zendesk はProvisioning を利用しているので、LDAP にユーザーを追加した段階で自動的に Zendesk アカウントも取得できる運用にしています。 (徳山氏)
ディレクトリ設置は重要ですかご意見ください。
できることなら、最初からディレクトリサービスで運用したほうがいいです。
どうしても LDAP や AD だとスタートアップ企業やベンチャーでは、社内にそこをできる方がいないことが多いです。ある程度の規模になってくると必ず管理が発生します。なるべく初期の頃から内部でディレクトリサーバーを持つことは重要です。自分が今回導入して ID 管理を一元管理して実現することに取り組み、その体験から小さい段階から取り組まないとダメだなと思いました。この点はどうしても後回しになるのですが、できる方がいるのであれば早い段階からやった方がいいですね。Cocone は OneLogin 導入と同時に LDAP をクラウドサービス認証の為に導入しました。
100ユーザー以下の数十人でもディレクトリ管理ができるのであれば、取り組んだ方がいいと思います。(徳山氏)
OneLogin を使ってみた感想をお聞かせください。
OneLogin を利用して3つのメリットを感じています。(徳山氏)
①SAML 対応がアプリケーション選択ポリシーになった
②ID 管理をディレクトリにまとめ OneLogin を利用することで、外部アプリをひとつの ID にまとめられた
③ユーザーは LDAP でパスワード変更できるので、社内からの問い合わせが減った
OneLogin ご利用経験に基づいた貴重なご意見ありがとうございました。今後とも OneLogin 運用方法にご意見ください。
2014年7月 ココネ導入事例
OneLogin を採用してからアプリケーション選択基準がかわりました。スピードを考えるとクラウドを組み合わせるモデルが今後の選択肢になります。
ココネ株式会社 | ソーシャルゲーム事業、ソーシャルネットワークサービス事業、語学事業
インフラチーム チーム長 徳山 文晟 様