eWEEKラボ検証――「Google Apps」がID管理と相性の良いワケ
Google Appsは、Webブラウザを搭載したPC以外のハードウェアやソフトウェアを必要としない、シンプルなオンデマンドホスティング製品だ。
「Google Apps」は、Webブラウザを搭載したPC以外のハードウェアやソフトウェアを必要としない、シンプルなオンデマンドホスティング製品だ。
SAML(Security Assertion Markup Language)を利用してGoogle Appsをシングルサインオン(SSO)対応にするためには、組織が利用できるITリソースをかなり費やさなければならない。しかし余分なIT投資が増える代わりに、こうした形態でGoogle Appsを利用すると、ユーザーはシステムにログインする手間を省くことができる。管理者は簡潔なユーザーリストをチェックするだけで済むようになるわけだ。
SAMLは、セキュリティドメイン間で認証および承認データを交換する際に使う、XMLセキュリティ標準だ。Google Appsは、Sxip IdentityやSSOCircleといったベンダーとのパートナーシップを介し、SAMLベースの認証および承認アドオンをオプションとして提供している。
eWEEKテストラボが行った今回の実験では、Sxip Identityのソフトウェアを用いて、eWEEKのGoogle Appsオンデマンドコラボレーションスイートへのアクセスを既存の「Microsoft Active Directory」インフラストラクチャに組み込み、個別の認証システムを運用しなくてもよいようにした。
Google Appsの管理用コンソールで、eWEEKのシステムやGoogle Appsにサインインしたり、そこからサインアウトするためのサインイン/サインアウトURLを生成し、SSOを有効化した。また、パスワード変更URLを生成してユーザーがパスワードを変えられるようにし、Googleの公開鍵を含む証明書を参照することでサインインリクエストを検証できるようにした。
今回の実験では、Sxip Identityソフトウェアが作成した仮想マシン(VM)を動作させるために、VWwareの「VMware Player」を使用した。ユーザーがGoogle Appsのホスティングサービスにログインすると、GoogleはSAMLリクエストを発行し、eWEEKがID提供者として設定したSSOサインインURLへとブラウザリダイレクトする。
本テストにおけるID提供者は、eWEEKがLDAPを用いてActive Directoryインスタンスに統合した、Sxip Identity VMだ。
Sxip Identity VMはSAMLリクエストを処理し、問題がなければユーザーを認証して、SAMLレスポンスを返した。このレスポンスがGoogleの「Assertion Consumer Service」によって確認されたあと、ユーザーはGoogle Appにログインできるようになった。
Google AppsのようなオンデマンドサービスをSxip IdentityなどのID管理システムを併用すると、数多くのメリットが得られる。実験では、既存の社内ディレクトリを利用してユーザー認証を行ったのだが、Google Appsの管理用コンソールを唯一の認証ゲートキーパーとして使った場合よりも、Google Appsを誰が利用していて、誰が利用していないのかを正確に特定できた。ユーザー権限を拡張したり、制限したりする際にGoogle Appsをいちいちチェックしなくて良くなるという点は、非常に大きな魅力だと感じられた。
Googleはユーザー管理にSAML標準を使用しているので、IT管理者はそうしたサービスを提供している複数のベンダーの中から、任意のものを選ぶことができる。エール大学が開発した「Central Authentication Service」(www.ja-sig.org/products/cas)なども、オープンソースのSAMLベースIDプロバイダーの一種だ。大学が主導している同様のプロジェクトはほかにも多数存在しており、大半が活発なユーザーコミュニティーを持っている。
これらのIDプロバイダーのうちのいずれかを使用する場合、Googleはサービスを提供するサービスプロバイダーとして振る舞う。今回の実験に使った「eweekdemo.com」のトップページも、そうしたサービスの1つである。SAMLを利用することで、Google Appsの管理者はホスティング型もしくは独自のIDプロバイダーの役割を担い、保護されたコンテンツにアクセスしようとするユーザーを認証することもできる。
関連記事
- 日本大学がGoogle Apps採用、学生10万人のコミュニケーション基盤に
日本大学は、約10万人の学生向けサービスとして「Google Apps Education Edition」を採用した。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.