東芝デジタルエンジニアリング株式会社

アカウント統合管理「OneLogin」 機能

シングルサインオン

OneLogin画面にID/パスワードを入力すれば、自分が利用できるクラウドサービスやWebアプリケーションが一覧で表示されます。
あとは使いたいサービス名をクリックするだけで、サービスごとのID/パスワードの入力が不要になります。

6,000以上のクラウドサービス・Webアプリケーションに対応済み

「OneLogin」シングルサインオン

SAML認証に対応したシングルサインオン

OneLoginは業界標準であるSAML(Security Assertion Markup Language)1.1/2.0、WS-Federationを利用したフェデレーション(クラウドサービス間の認証連携)によるシングルサインオンを提供しています。

SAMLとは

SAMLは OASISによって策定された異なるインターネットドメイン間でユーザー認証を行うためのXML をベースにした標準規格です。2002年に策定され、2005年にはバージョン2.0となっています。
SAMLを利用することで以下のようなメリットがあります。

  • 利用者は認証サーバーに1回ログインするだけで、SAML対応しているクラウドサービスやWebアプリケーションを利用することができます。

  • 属性情報なども付与することができます。単純に利用者の認証を行うだけでなく、利用者がクラウドサービス内のどの機能を許可するなどの認可も行えます。
    例えば、営業部や情報システム部といった属性情報を利用者認証に付与することで、この機能は営業部にしか使わせないといったリソースへのアクセス制御が容易にできるようになります。

SAML非対応アプリケーションの対応
Microsoft 365やBoxに代表される主要なクラウドサービスは、SAML対応していますが、社内で開発した独自のWebサービスなどは、SAML非対応のケースが多いです。
OneLoginは、このようなSAML非対応の Webアプリケーションでも、ID/パスワードの代行入力によるシングルサインオンを実現しています。

ディレクトリサービス連携

オンプレミス環境にあるActive Directory(AD)情報をクラウド環境と連携します。
Active Directory環境の場合、OneLogin AD Connector (ADC)をドメインのサーバーに導入するだけで、Active Directoryの利用者情報をリアルタイムに OneLoginに登録・変更します。

Active Directoryとのリアルタイムの利用者情報連携がサーバー不要で実現

Active Directoryとのリアルタイムの利用者情報連携がサーバー不要で実現

ユーザプロビジョニング

OneLoginは、従来の手法では密接な連携ができなかった Active Directoryのアカウント追加・変更・削除のイベントとクラウドサービスのアカウント管理とをリアルタイムに自動連携します。

また、Microsoft 365や G Suite、Salesforce.com、Boxに代表される主要なクラウドサービスでは、アカウントの追加・変更・削除にとどまらず、クラウドサービス内のアプリケーションのライセンスアサインや Active Directoryの属性情報をクラウドサービスに渡したり、属性情報を利用した人事異動の際のアクセス権の変更までも自動化できます。
入社・退職時におけるクラウドサービスアカウントの管理負荷が軽減されます。

Active Directoryアカウント作成以降の一連の流れを完全自動化

Active Directoryアカウント作成以降の一連の流れを完全自動化

アクセスコントロール

OneLoginは、社外からのクラウドサービスへのアクセスを防ぐために、IPアドレス制限やブラウザPKIを利用することでアクセス制限をすることができます。

IPアドレス制限(IPホワイト)

企業のインターネットゲートウェイなど、指定したIPアドレスからのみ OneLoginとのアクセスを許可することで、「自宅 Wi-Fiからの会社クラウドサービスへのアクセスを防ぎたい」といったニーズに対応できます。
Microsoft 365の場合、OutlookやTeamsといったリッチクライアントからのアクセスも同様に制限できます。

また、特定のクラウドサービス・Webアプリケーションは特定のIPアドレスからのアクセスのみ許可するといった設定もできます。

IPアドレス制限(IPホワイト)イメージ

ブラウザPKI

OneLoginは、標準でブラウザPKIが利用できます。PKIを導入したブラウザからのみ OneLoginにアクセスできる運用ができますので、「会社指定のPCからのみクラウドサービスにアクセスさせたい」といった運用が簡単に実現できます。

PKIとは

PKI(公開鍵暗号基盤 Public Key Infrastructure)とは、公開鍵と秘密鍵のキーペアからなる「公開鍵暗号方式」という技術を利用し、インターネット上で安全に情報のやりとりを行うセキュリティのインフラ(基盤)のことです。公開鍵暗号方式は、暗号化(復号)するときに「公開鍵」と「秘密鍵」という別々の鍵を使うのが特徴です。

「公開鍵」は公開されている誰でも取得できる鍵ですが、「秘密鍵」は 受信側だけが保持している鍵です。
「秘密鍵」の管理を厳重に行えば、万が一悪意の第三者が公開鍵を入手したとしても秘密鍵が無い限り解読できないため、暗号化された文書の内容が漏れてしまうことはありません。

多要素認証による認証強化

多要素認証とは

"多要素認証" とは、「利用者が知っているもの(ID/パスワード)」と「利用者が持っているもの(複製できない、もしくは複製しづらい機器)」を2つ以上組み合わせてセキュリティレベルを高める方法です。
2つ以上の要素が揃っていないと認証を完了することができないため、たとえID/パスワードが漏えいしてしまっても、もう1つの要素がない限りはログインすることができません

多要素認証
多要素認証イメージ

OneLoginによる多要素認証

OneLoginはさまざまな多要素認証方法をご用意しています。利用する認証方式はエンドユーザー側でも選択可能です。

  • ① スマホアプリ認証
    OneLoginでは本人確認を強化するためのスマートフォン認証アプリを標準で用意しています。これは認証時に利用者がID/パスワードを入力すると利用者のスマートフォンにプッシュ通知が飛んでくる仕組みです。
    通知には利用者名とアクセス元のロケーションもしくはIPアドレスが表示されます。
    利用者は承認のボタンをタップするだけで認証が完了します。
  • ② WebAuthn認証
    ハードウェアトークンや指紋認証、顔認証など WebAuthnサポートデバイスを利用することができます。
  • ③ Eメール認証
    Eメール認証はあらかじめ登録しておいたEメールアドレスにPinコードが送信され、受信したPinコードをOneLoginに入力することで認証が完了します。
  • ④ SMS認証

    SMS認証はあらかじめ登録しておいた携帯電話にSMSでPinコードが送信され、受信したPinコードをOneLoginに入力することで認証が完了します。

    別途通信料が発生します

  • ⑤ 電話認証

    電話認証はあらかじめ登録しておいた電話番号に着電し、画面に表示された数字を電話にPUSHします。

    別途通信料が発生します