原口 豊(はらぐち・ゆたか)
大手証券会社システム部に在籍後、1998年ベイテックシステムズを設立し社長就任。2008年に、いち早くクラウドコンピューティングの可能性に注目し、サービスの提供を開始、GoogleAppsの導入サポート実績はこれまで250社以上。「サテライト・オフィス」ブランドで多数のテンプレートを無償提供するなど、GoogleAppsの普及に尽力。GoogleEnterprise Day 2009ではパートナーアワードを受賞した。

アカウント同期でシステム管理者の負荷を低減

企業におけるアカウント管理は、システム管理者にとって非常に厄介な存在だ。全社員のアカウント情報を管理するには多くの時間と手間が必要で、特に新入社員の入社や人事異動が重なる春先は頭を悩ませる方も多いだろう。こうした課題を解決してくれるのが、ドメイン単位でユーザーやグループの管理ができるディレクトリ・サービスシステム「Active Directory」である。

Active Directoryはシステム管理者の業務効率や利便性を向上する一方、セキュリティ強化にも貢献する。ユーザーの集中管理によって個別のアクセス権限や詳細なセキュリティ設定に加え、ログオン状況の監視も実現するからだ。

少々前置きが長くなってしまったが、今回はこのActive Directoryと連携させることで、Google Appsの利便性およびセキュリティの向上を図る方法を紹介したい。

Google Appsを導入すると当然ながら、既存のアカウントに加え、新たに作成したGoogle Apps用のアカウントを管理する手間が発生する。しかし、ベイテックシステムズで提供しているようなアカウント同期マネージャー機能を使えば、Active DirectoryとGoogle Appsのアカウントを同期させることが可能だ。

差分情報の管理、組織情報やアカウント情報の一括変更も行えるので、システム管理者の負担は大幅に低減される。さらに、アカウントの追加や削除といった作業が頻繁に発生した場合の人為的ミスが抑えられ、セキュリティ面も強化できる。

ちなみに、ベイテックシステムズのアカウント同期マネージャーではActive Directoryのほか、LDAP(Lightweight Directory Access Protocol)や基幹系システムなどのアカウント情報も管理可能だ。アカウント情報の変更履歴、変更時の管理者メール通知、Excelなどへのバックアップ、Excelからのインポート、さらにはメーリングリストの同期機能も備えている。

シングルサインオンとゲートウェイ機能で細かい制御も可能

Active Directoryとの連携でもう1つ大きなメリットとなるのが、シングルサインオン機能を利用できることだ。シングルサインオンを使うと、Active DirectoryにログインするだけでGoogle Appsの認証処理も済ませられるため、ユーザーの利便性が大幅に向上する。

また、パスワード漏洩や外部ユーザーによる不正ログインの防止、社内IPアドレスによる端末やログイン時間帯の制限、一部ユーザーの社外からのGoogle Appsの利用許可といったことも可能になる。

さらに、ゲートウェイサーバを使うのも有効な手段だ。こちらはシングルサインオンのサーバを社外に出すようなイメージで、Google Appsのログインをより細かく制御することが可能。特に多店舗展開をしている企業や社外利用のユーザーが多い企業に最適と言える。

シングルサインオン機能を使用した場合のイメージ

ゲートウェイ機能を使用した場合のイメージ

シングルサインオイン機能の設定手順

それでは、シングルサインオン機能を利用する際の手順を紹介しよう。まずは、管理コントロールパネルにアクセスして「高度なツール」から「シングル サインオン(SSO)の設定」をクリック。設定画面が開いたら「シングルサインオンを有効にする」にチェックを入れ、ベイテックシステムズなどシステム開発元から提供された「ログインページ」「ログアウトページ」「パスワード変更ページ」のURLを入力する。

続いて、公開キーが埋め込まれたX.509形式の認証ファイルをアップロード。通常はSAML(Security Assertion Markup Language)リクエストの発行元が「google.com」となるが、IDPアグリゲータを使いドメインに固有の発行元を送信したい場合は「ドメイン固有の発行元を使用」にチェックを入れておこう。

シングルサインオンで有効にするIPアドレスは「ネットワークマスク」で設定する。複数指定の場合は「64.233.187.99/8; 72.14.0.0/16」のようにセミコロンで区切り、範囲指定にはハイフンで「64.233.167-204.99/32」と記載する。

注意点は、最後に必ずCIDR(Classless Inter-Domain Routing)を追加することだ。例えば「72.14.0.0/16」で指定される範囲は「72.14.0.0~72.14.255.255」、「72.14.0.0/24」では「72.14.0.0~72.14.0.255」、「72.14.0.0/32」なら「72.14.0.0」のみとなる。ちなみに、ネットワークマスクが指定されていない場合はネットワーク全体に対してシングルサインオン機能が適用される。

シングルサインオン機能を設定するには、管理コントロールパネルの「高度なツール」から「シングル サインオン(SSO)の設定」をクリック

ここで各ページのURLやネットワークマスクなどの入力を行う

なおアカウント同期、シングルサインオン、ゲートウェイ機能などはGoogleが直接提供するものではないので、興味がある方はぜひベイテックシステムズなどの正式販売代理店に問い合わせていただきたい。