株式会社日本エコシステム

本社管理部人事総務室

石田　晋也様

株式会社日本エコシステム本社管理部人事総務室石田　晋也様太陽光発電システム、蓄電池等の販売・施工・アフターフォローをワンストップで取り扱っている会社です。〒107-0052
東京都港区赤坂1丁目7番1号赤坂榎坂森ビル9階
URL：https://www.j-ecosystem.co.jp/

クラウドアプリケーションとクラウドSSOとの連携は、事前検証をオススメします

クラウドアプリケーションとクラウドSSOとの連携は、オンプレミスシステムのようにすべてを手元で操作することができないので、事前検証をオススメします。株式会社日本エコシステム　石田　晋也様

株式会社日本エコシステムはどんな会社ですか？

日本エコシステムは太陽光発電システム、蓄電池等の販売・施工・アフターフォローをワンストップで取り扱っている会社です。一般のご家庭など戸建て個人住宅の屋根などへの設置や、アパート・マンションへの設置も工務店様などを通して行っており、BtoC、BtoBの両面で太陽光発電システムをご提供しております。

子会社の日本ソーラーパワーでは、広大な土地にソーラーパネルを敷き詰めるなど事業者様向けメガソーラービジネスも展開しております。太陽光ビジネスは比較的新しいビジネスですので、このビジネスにおいて日本エコシステムは老舗企業です。

OneLoginのきっかけは何ですか

弊社では既にMicrosoft Office 365をインフラシステムとして導入しておりました。Office 365はクラウドサービスなのでどこからでも接続できるメリットがありますが、それは同時に欠点にもなりうることがあります。社内では、情報セキュリティ対策の一貫として、社員を守るために社内情報へのアクセスをある程度コントロールしておかなければならないのではないか、クラウドサービスに接続するための条件・制限を設ける必要があるのではないか、との意見がありました。そのためOffice 365同時に導入したのが、HDE OneというSSOサービスでした。このSSOシステムをOffice 365とともに1年間利用しましたが、いくつか課題がありましたのでこのたびOneLoginに切り替えることにしました。

どんな課題だったでしょうか

HDE Oneが我々のニーズに合致していなかった点は、

1. MobilePCからのアクセスからの接続制限
2. Office 365仕様変更がきっかけでOutlookアプリからメールが受信できない問題があった
3. HDE Oneから弊社への連絡対応が十分でなかった

の3つがあげられます。
そしてこれらがOffice 365だけでなく、その他のクラウドサービスの利用においても同様の事態、対応なることを懸念しておりました。

課題解消できるクラウドサービスをどのように探しましたか

OneLoginはネットで検索していて見つけました。そこでOneLogin取扱代理店のペンティオさんに問い合わせいたしました。

OneLoginをどのように使っていますか

現在はOffice 365への接続のみで利用しています。HDE OneでもWS-Federationを利用していたので、OneLoginとOffice 365はSAML認証方式を利用したWS-Federation連携で運用しています。今後は段階的に、OTP（ワンタイムパスワード）やPKI証明書を使った認証を取り入れていきたいと考えています。

HDE Oneからの移行はどうでしたか

このWS-Federationを使った認証連携の移行が、クラウドサービスは難しいなと実感したところでした。ペンティオさんには、移行に際して多大なご協力を頂き感謝しております。

Office 365はオンプレミスシステムではないため、自分たちの判断で切り戻しができません。今回の移行で問題となったのは、HDE OneがOffice 365に埋め込んだユーザーデータでした。HDE OneとOffice 365がユーザーを同期するとき、HDE OneはAzure AD内のユーザー属性値を変更しており、HDE Oneを解除した後もそれがそのままになって残ります。この残ったデータ値がOneLoginなど他のシステムへ影響してしまい、認証移行に際して課題となりました。

この課題を解消するためにはAzure ADのデータを修正する必要がありましたが、そのデータはユーザーには見えず、ユーザーによる変更ができない部位に格納されており、Microsoftさんに戻していただく操作が必要となりました。オンプレミスだったら、ユーザー情報を変更することができたでしょうが、クラウドサービスはAzure AD内を自由に見ることができない、特に今回の部分はPowerShellでも見ることができない部分だった為、なかなか難しかったです。

これらの原因を特定すること、さらにHDE OneとのWS-Federation完全解消とOneLoginとのWS-Federation構築を、ペンティオさんの協力で行いました。これにより、一時的に発生していた「OneLoginに切り替えた後も残存データが理由でHDE Oneにリダイレクトされてしまい、存在しないHDE One環境に接続することで認証エラーが発生する」事象を無事解決できました。

ペンティオのご支援はいかがでしたか

想定外の事が多かったにもかかわらず、ペンティオさんには親身になってやってもらってすごく良かったと思っています。お陰様で落ち着いて対処することができたと思っています。

クラウドサービス切り替えは初めてでしたか

会社業務の既存環境をそのまま残して、間に介在するクラウドサービスを切り替えることは初めてでした。そもそもが、クラウドシステムに対するSSOサービス業態も最近できてきたものなので、SSOサービス企業も大変だなと感じました。

クラウドSSOを切り替えて社内の反応はいかがですか

OneLoginに切り替えた時のユーザー反応は無いですね。クラウドSSOを切り替えてユーザー反応が無いことは良いことだと思っています。

現在はOffice 365だけで利用しているので、今のところこれは良いことだと思っています。iPadなどのモバイル端末で利用する場合もタップする部位が大きいので利用者の戸惑いはないようです。

OneLoginはアプリケーションが増えてきた時にお役に立てます

今後の選択肢としてクラウドサービスがあるのは当然だと思います。

新規事業を拡大したい
業務プロセスをITに乗せていく

などのテーマがあります。これらのテーマにおいてクラウドサービスを選択することもあり得ると思いますので、その時はOneLoginの利点が広がるのかなと思っています。

OneLogin利用を拡大する計画はありますか

いまのところVPNが無いので予定はしていませんが、VPNからOneLoginに問い合わせすることもできるのですね。OneLoginがRADIUSサーバーになることでVPN機器がユーザー認証する際のRADIUSサーバーを構築する必要がないのはいいですね。

Juniper VPNやCisco VPNは、OneLoginとSAML認証連携をサポートしています

VPN機器とSAML認証連携ができるとOneLoginポータル画面アイコンをクリックすると、自動的にVPN接続してアプリケーション利用をすることができるのですね。それ、いいですね。是非やりたいですね。

無線LANアクセスポイントコントローラがOneLoginに問い合わせをすることができるようにもなります

OneLogin自体がAzure ADと同じような機能がもてるならそれはありがたいですね。
=> OneLoginはRADIUSサーバー、vLDAPによる仮想LDAPサーバ機能ーをご提供できます（ペンティオ）

OneLoginへのご要望をおきかせください

日本向けインターフェースでないのでシンプルです
ユーザー向け画面UIが、管理者向け画面UIから利用しない部位を削ったデザインなので、ユーザー専用UIがあってもいいと思います。
管理画面
HDE OneのときにあったCSVでユーザー追加・編集・削除ができましたが、OneLoginはCSVでの削除ができなかったりするので、社内中間管理システムからCSV出力したデータを使って削除できると良いです。

OneLoginをこれからご利用される方にアドバイスを一言お願いします

クラウドサービス切り替え前には検証環境で事前テストをオススメします。

できるとしたら事前に検証環境をつくるべきですね。一般的には検証環境提供の必要のないことがクラウドサービスだと言われたりして、クラウドサービスは検証環境提供を受けることが難しいですよね。ペンティオさんには検証環境を整えて支援いただけたので大変良かったです。