ディレクトリ連携可能サービス
OneLoginでは、11種8方式のディレクトリ連携をサポートしています。ディレクトリ連携を使用すれば、OneLogin上のユーザーの作成、削除をすでに社内にあるディレクトリを通じて行うことができます。
主要なディレクトリ連携
海外でよく使われるSaaS型ディレクトリ
日本のHRサービスとの連携はありませんが、海外で利用が多いWorkdayなどのHRサービス(クラウド型人事サービス)からOneLoginにユーザー同期することも可能です。
ディレクトリサービスとOneLoginの同期
Active DirectoryからOneLoginへ同期する基本8項目
-
OneLoginが必要とする最低限のユーザー情報(属性)
- givenName
- sn
- distinguishedName
- userPrincipalName
- saMAccountName
- memberOf
- status
-
OneLoginが受け入れるユーザー情報(属性)
- 選択された属性
ディレクトリサービスからOneLoginへユーザー情報を同期させる方法は、2つあります。
- OneLoginが提供するConnectorツールでの同期方式
- DirectoryサービスAPIなどを利用する同期方式
の2種類です。コネクタを使用した同期方式は、OneLogin以外の外部のサーバと通信することなくユーザー情報をリアルタイムに同期できるというメリットがあります。Azure ADやG Suiteでは、後者のAPIなどを利用してユーザー情報をOneLoginに同期しています。
OneLoginが提供するコネクタによってリアルタイム同期を実現
OneLoginが提供するActive Directory Connector / LDAP Connectorは軽微なプログラムです。Directory Server内の情報を監視して、ユーザー情報に追加更新があると、情報差分のみを選定してOneLoginに伝えます。この監視間隔がたいへん短い為にユーザーDB更新をすぐに検知して、差分情報をOneLoginに伝えてきます。この動作がほぼリアルタイムで伝搬します。
Active Directory / LDAP を社外公開の必要なし
Active Directory Connector / LDAP Connectorは OneLoginへの通信をおこないます。この通信はActive DirectoryやLDAPからアウトバウンドにのみ通信をおこなう方式です。この為Active DirectoryやLDAPを安全に運用することが可能です。 OneLoginとActive DirectoryやLDAPとを通信させるために、社内F/Wに通信用の穴をあけ、クラウドにあるOneLoginからの通信を受け入れるネットワーク構成にする必要はありません。
複数ディレクトリとの連携
OneLoginが持つDirectoy構成は多様性に優れています。
右の画像では、Active Directory2台とAzure AD、G Suite、LDAPをOneLoginと接続しています。OneLoginは複数Directoryと多様な連携構成をサポートしています。
- 複数種のDirectory
- 冗長構成
- オンプレミスとクラウド構成
- 複数フォレスト(Active Directory)
- ドメインサーバーまたはメンバーサーバー(Active Directory)
OneLoginのスマートパスワード(Smart Password)という機能をご存知でしょうか? スマートパスワードを利用すると、Active DirectoryやLDAPなどのリモートディレクトリから同期されたユーザーがOneLoginにログインするときに使用したパスワードのハッシュ値をOneLoginがキャプチャし、OneLoginのユーザーデータベースにコピーします。 この機能を利用すると、OneLogin導入当初はADやLDAPとのディレクトリ連携を利用していたものの、オンプレミスサーバー廃止などの流れに伴いディレクトリ連携を解除したいときに役立ちます。 今までディレクトリ側で利用していたユーザーのパスワードをそのままOneLoginのDBに引き継ぐことで、エンドユーザーによるパスワード再設定を不要とし、スムーズなディレクトリ連携の解除を実現することができます。
チェック一つで切り替えが可能
複数のディレクトリ、例えばAzure ADとActive Directoryとを同時に同期することも可能です。ディレクトリが冗長構成のアクティブとスタンバイの場合アクティブ/スタンバイどちらと同期するか管理者がチェックボックスで選択変更することが可能です。メンテナンス作業中などはチェックを外し同期を切って、作業が終わったらチェックをつけて同期再開する簡単操作で運用が可能です。
オンプレ・クラウドを問いません
ディレクトリ設置環境は自社内オンプレミス環境でも、IaaSクラウド環境でもどちらでも動作します。Active Directoryの複数フォレストでも同期可能です。親会社のActive Directoryからグループ社員コードを受け取り、自社のActive Directoryから社員情報を受け取るなどの同期が可能です。
メンバーサーバーでも同期可能
Active Directoryの場合は、必ずしもドメインサーバーと同期する必要はありません。基幹サーバーであるドメインサーバーと同期させずに、同一ドメイン内のメンバーサーバーと同期させる場合もあります。この場合はメンバーサーバーのWidowsOSバージョンは基幹サーバーに依存させず最新WindowsOSバージョンにすることが可能になります。
ユーザーDB拡張でさらに柔軟に
複数のDirectoryと同期を実現する場合には OneLogin内のユーザー属性情報の格納領域も拡張が必要になります。OneLogin内部のユーザー属性情報の格納領域は拡張させることができます。
グループ親会社Active Directoryから受け取る属性情報と、自社Active Directoryから受け取る属性情報を同時に保持する場合には、OneLoginが標準で提供するユーザー属性情報の格納領域では不足する場合があります。ユーザーDB拡張はOneLogin Advancedプラン、OneLogin ProfessionalプランでCustom User Field機能で拡張できます。
ディレクトリ判定を使った高度な認証
OneLoginへのユーザーログイン判定方式は 3つの方式があります。
- OneLogin 判定
- Directory 判定(Active Directory Connector / LDAP Connector )
- IdP 判定
このうちOneLogin判定はOneLogin自身で判定する方式です。
Directory判定とは、OneLoginにログインするユーザーを、OneLogin自身が判定するのではなく、連携するDirectoryで判定し、その結果をOneLoginが受け取ってにログイン可否を処理します。
OneLoginは、Active Directoryドメインユーザー判定ができるDirectory判定は安全でリアルタイムである点でたいへん優れた方式です。
日本でも多くのお客様がActive Directory判定方式を採用しており、稼働率の高い安定した方式でオススメです。
OneLoginからイントラ環境のActive Directoryなどに通信はできませんが、Active Directory内部のOneLogin Active Directory Connectorはアウトバウンドに常にDirectory更新結果をプッシュしています。この通信の戻りパケットに、OneLoginはActive Directory内のドメインユーザー判定リクエストを乗せて結果を受け取ることで、イントラ環境のActive Directoryからドメインユーザーの可否を受け取ることができます。
この際、OneLoginからActive Directoryに問い合わせるドメインユーザー名とドメインパスワード、AD内現在のユーザーステータス、などをAD/LDAPへユーザー判定委任して結果受信することができます。この処理もたいへんレスポンスが良くリアルタイムです。
ディレクトリ連携をご利用されているお客様
